Ich habe mein Synology DSM so eingerichtet, dass es Zertifikate von Let’s Encrypt mithilfe von abruft und erneuert acme.sh.
Das Problem ist folgendes:
- Das VPN Center-Paket von Synology übernimmt automatisch das Standardzertifikat, wenn es geändert wird
- Ich kann keine Möglichkeit finden, OpenVPN-Clients dazu zu bringen, öffentlichen Zertifikaten einfach zu vertrauen.
- Das Zertifikat wird alle 2 Monate erneuert und es ist nicht machbar, meinen Benutzern zu erlauben, ihre
.ovpnKonfigurationsdatei so häufig zu aktualisieren. - Auch wenn ich über die notwendige Linux-Kompetenz verfüge, ziehe ich es vor, Herstellersoftware nicht zu ändern, es sei denn, dies ist unbedingt erforderlich.
Wie muss ich vorgehen, um meinen Benutzern eine Verbindung zu diesem OpenVPN-Server auf Synology DSM zu ermöglichen?
Antwort1
Tu das nicht.
Erstens wird in den Handbüchern von OpenVPN darauf hingewiesen, dass die Verwendung einer öffentlichen Zertifizierungsstelle nicht empfohlen wird. OpenVPN vertraut jedem Zertifikat, das von dieser Zertifizierungsstelle veröffentlicht wurde. Ich bezweifle, dass Sie erwarten, dass sich jeder Inhaber eines von der Drittanbieter-Zertifizierungsstelle ausgestellten Zertifikats mit Ihrem VPN verbinden kann.
Zweitens ist es sinnlos, eine öffentliche CA für einen privaten Dienst zu verwenden. Aufgrund der Vorteile von VPN handelt es sich um einen privaten Dienst, der nicht erwartet, dass Fremde eine Verbindung zu Ihrem Dienst herstellen oder ihm vertrauen. Es verfügt über einen gültigen und praktischen Stammzertifikatsverteilungspunkt – zusammen mit der VPN-Konfigurationsdatei (wahrscheinlich darin integriert), die Sie ohnehin an die Clients verteilen müssen. Außerdem verfügt es über einen separaten Zertifikatsspeicher. All dies erfordert ein privates VPN. Es gibt also keine Nachteile bei der Verwendung einer privaten CA für VPN im Vergleich beispielsweise zur Verwendung für öffentliches HTTPS, da Sie das CA-Zertifikat verteilen. Übrigens hat sogar HTTPS eine gültige Verwendung für die private CA – an derselben Stelle wie VPN, zur Validierung des Client-Zertifikats; in diesem Fall können Sie weiterhin ein öffentliches Zertifikat für den Server verwenden, aber die Client-Zertifikate werden mit Ihrer privaten CA signiert.
Drittens stellt Let's Encrypt domänenvalidierte Zertifikate aus mitTLS-WebserverZweck. Bei richtig eingerichtetem OpenVPN können Sie ein solches Zertifikat nur auf dem Server installieren. Client-Zertifikate müssen über ein umgekehrtes Merkmal verfügen —TLS-WebclientZweck. Let’s Encrypt stellt solche Zertifikate nicht aus.
OpenVPN wurde mit Blick auf eine private, spezielle Zertifizierungsstelle entwickelt, die nur für dieses VPN vorgesehen ist. Es wird eine Reihe von Skripten zum Erstellen einer solchen Zertifizierungsstelle bereitgestellt, die EasyRSA genannt werden. Sie sind wirklich einfach zu verwenden. Wenn Sie sie nicht verwenden möchten (und einen triftigen Grund dafür haben), können Sie zum Erstellen dieser privaten Zertifizierungsstelle etwas anderes verwenden. Wir haben beispielsweise einmal MS AD Certification Services dafür verwendet.