53 Stimme

SSL-VPN Konfigurationsdatei mit eingebetteten Zertifikaten

Liebes Securepoint Team,

manchmal kommt es vor, dass man eine SSL-VPN Verbindung unter Apple iOS mit dem OpenVPN Client herstellen muss.

Dazu lädt man sich das Konfigurationsprofil von der UTM herunter. Es handelt sich um eine ZIP-Datei, welche die Konfigurationsdatei sowie die zusätzlichen Zertifikatsdateien enthält.
Dieses ZIP-File muss man dann entpacken und per iTunes auf das iOS Device in die OpenVPN App hineinladen.

Wäre es nur eine einzige Datei, könnte man ganz ohne iTunes direkt die Konfigurationsdatei in der OpenVPN App öffnen. (z.B. direkt vom Userportal der UTM heruntergeladen, oder per Dropbox oder iCloud, o.ä.)

Es gibt seit Jahren die Möglichkeit die Zertifikate in der Konfigurationsdatei (.OVPN) direkt unterzubringen, ohne zusätzliche Zertifikatsdateien zu benötigen.
Auf diese Weise kann man sich das ZIP-File sparen und man könnte nur die OVPN-Datei direkt auf dem iOS Device von der UTM herunterladen und in OpenVPN importieren. Das würde das ganze viel einfacher machen.

Die Zertifikate werden in die Konfigurationsdatei eingebettet, indem man diese als BASE64 codierte Textblöcke innerhalb der jeweiligen Tags (<ca> </ca>, <cert> </cert> und <key> </key>) ablegt.
Die alten “ca”, “cert” und “key” Schlüsselwörter werden weggelassen oder auskommentiert.

Das funktioniert ganz wunderbar und verbessert das Handling mit den Konfigurationsdateien enorm.

Mit freundlichen Grüßen
Christian Bendt

  • Guest
  • Jul 9 2019
  • Geplant
  • Attach files
  • Guest commented
    9 Apr 06:51am

    Wir wünschen uns auch die Exportmöglichkeit in eine Konfigurationsdatei mit eingebetteten Zertifikaten. Wie Herr Berndt beschrieben hat, vereinfacht es die Einbindung in andere VPN Apps/Programme auf Handy's oder PC's.

    Andere VPN Lösungen bieten diese Exportmöglichkeit ja auch an.


    Viele Grüße

    Jens Rösiger

  • Guest commented
    14 Nov, 2019 12:33pm

    Wir exportieren alle 3 Dateien einzeln.

    Die Konfigurationsdatei (.ovpn) wird bei uns den Usern über eine Dateibox auf den Smartphone zur Verfügung gestellt. Das private Zertifikat wird in *.ovpn umbenannt und den Usern ebenfalls zur Verfügung gestellt. Beides unterscheidet der OpenVPN Client.

    Das Rootzertifikat wird über eine MDM-Lösung ausgerollt.

     

    Somit müssen wir mit Ablauf des Userzertifikates nur diese Tauschen und stellen sicher, dass nur berechtigte Geräte die Konfiguration und Zertifikate erhalten.