openvpn vpn: unterschied: secret + cert

Druckbare Version

03.07.08, 11:58
sam600

openvpn vpn: unterschied: secret + cert

hallo

ich richte meine vpn verbindungen mit folgender config ein:

Code:

dev tun1 ifconfig 192.168.18.1 192.168.18.2 secret vpnkey11.key port 6000

immer wieder lese ich, das man auch zertikate anlegen kann und mit folgender config eine vpn aufbauen kann:

z.b.:

Code:

... ca certs/vpn-ca.pem cert certs/servercert.pem key certs/serverkey.pem ...

frage:
ist die vpn mit dem "key" sicher?
oder warum sollte man ein zertifikat erstellen, wenn es mit dem key auch geht?

danke
03.07.08, 13:08
mbo

OpenVPN mit PresharedKey hat den Nachteil, dass Du nicht unendliche viele (theoretisch) PSK verwenden kannst, sondern nur einen, es sei denn, Du richtest für jeden ein eigenen OpenVPN-Server ein. Dumm ist es, wenn dieser Key in falsche Hände gerät, dann musst Du jedem befugtem den neuen Key zukommen lassen. Zertifikate kannst Du entsprechend personalisieren und einzeln revoken , hast aber ein Problem, wenn Deine CA "korrumpiert" wird (CA gut abschließen). Für einzel- bzw. überschaubare Anzahl der Verbindungen ist der PSK noch geeignet. Philosophisch gibt es ständige Diskussionen und Grabenkämpfe zw. PSK- und Cert-Verfechtern.

Eines unserer letzten Szenarios: OpenVPN mit OpenSSL-Zertifikaten und ldap-auth gegen das AD. Die gleichen Zertifikate werden für die https-Seiten verwendet, und die Clients haben alle ihre Zertifikate für die Website-Bereiche, die nur mit Clientzertifikate gem. CN/OU erreichbar sind.

Fazit: Mit Certifikaten ist die Unterscheidung der Benutzer und das Management (Austausch, Gültigkeit, Verwendbarkeit etc) bedeuten leichter.
Lohnt sich aber wirklich erst bei mehr als ein/zwei Benutzer oder enstprechender Vielzahl an Anwendungen mit Certifikatsunterstützung.
03.07.08, 13:16
sam600

Zitat:

Zitat von mbo

Fazit: Mit Certifikaten ist die Unterscheidung der Benutzer und das Management (Austausch, Gültigkeit, Verwendbarkeit etc) bedeuten leichter.
Lohnt sich aber wirklich erst bei mehr als ein/zwei Benutzer oder enstprechender Vielzahl an Anwendungen mit Certifikatsunterstützung.

super danke duer deine ausfuehrlich antwort.
d.h.: psk + cert sind beide sicher!

derzeit habe ich 12 vpn verbindungen mit psk.
der vorteil: denke ich zumindest, ich kann jederzeit einzelen vpn abschalten bzw. wieder einschalten.

danke
03.07.08, 13:42
mbo

Du kennst die Managementkonsole von OpenVPN?

Wenn nicht: management localhost 7505 in die Config eintragen und dann restart und per telnet localhost 7505 connecten.
03.07.08, 14:05
sam600

Zitat:

Zitat von mbo

Du kennst die Managementkonsole von OpenVPN?

Wenn nicht: management localhost 7505 in die Config eintragen und dann restart und per telnet localhost 7505 connecten.

nein, aber schaue ich mir gerade an.

habs verstanden...

mit der management konsole kann ich vpn verbinden administrieren die mit cert laufen...