OpenVPN Zertifikat lässt sich nicht kopieren

alois · 19. Juni 2018 um 20:13

Hallo Forum,

ich habe ein seltsames Problem mit einem Zertifikat eines Kollegen. Im Homeverzeichnis unter OpenVPN liegen die drei Dateien die für OpenVPN gebracht werden. Während die “to RED” und die “to Blue” Datei kopiert weren kann, kann die Zertifikatsdatei nicht kopiert werden. Die Rechte sind wie folgt gesetzt:

To Blue und To Red
Lesen und schreiben durch Eigentümer; Lesen durch Gruppe; Lesen durch alle
644

Die Zertifikatsdatei
Lesen und schreiben durch Eigentümer
600

Warum werden die Rechte unterschiedlich gesetzt? Wo muss ich ansetzen, damit die Rechte gleich gesetzt werden?

Gruß

Alois

Ps. Ich habe die Rechte erst mal händisch gesetzt.

irrlicht · 20. Juni 2018 um 13:31

Hab das so nicht im Einsatz, deshalb sollte sich jemand dazu aeussern, der weiss wovon er schreibt, aber grundsaetzlich laesst sich sagen, dass die Zertikatsdatei normalerweise Verwaltungsdaten + Public Key + Signatur der CA beinhaltet und nichts davon ist geheimzuhalten, der Private Key des Clients/Servers wird in der Regel in einer eigenen Datei gespeichert und dieser sollte nicht von allen im System gelesen werden koennen, also das 600. Es koennen auch Private+Public Keys in eine Datei gezwungen werden, Loesung ist aber nicht so geil.

amu · 20. Juni 2018 um 15:02

Hallo Alois,

bei mir sieht’s direkt so aus:

# ls -la OpenVPN/
insgesamt 12
-rw-r--r-- 1 root www-data 3438 Jun 20 16:54 xxx.p12
-rw-r--r-- 1 root www-data  161 Jun 20 16:54 xxx-TO-Firewall-BLUE.ovpn
-rw-r--r-- 1 root www-data  173 Jun 20 16:54 xxx-TO-Firewall-RED.ovpn

Betrifft das nur den einen Kollegen, oder passiert das bei allen?

Viele Grüße

Andreas

irrlicht · 20. Juni 2018 um 15:39

Vielleicht off topic, aber die .12-Datei ist so eine Konstruktion, Zertifikat und private Key in einer Datei, nochmal geschuetzt/verschluessel durch ein Passwort, die .ovpn-Dateien sind nur Konfigurationsdateien fuer die Clients, da steht der FQDN oder die IP des Zielservers drin, Kompression oder nicht usw. usf.

alois · 21. Juni 2018 um 18:03

Hallo Andreas,

ich werde einen Testuser anlegen und es noch mal probieren.

Gruß

Alois

martini412 · 26. Oktober 2018 um 19:35

Hallo Alois,
wir haben seit den letzten updates dasselbe Problem, dass die .12-Datei nur root lesen kann (600) und damit die Kollegen die Datei nicht mehr nach Hause exportieren können.
Hast du inzwischen eine Lösung dafür gefunden?

Viele Grüße
Jürgen

alois · 26. Oktober 2018 um 20:37

Hallo Jürgen,

ich habe das mit einem stündlichen Cronjob gelöst

5 8-20 * * * /bin/chmod 644 /home/teachers/*/OpenVPN/*.p12
6 8-20 * * * /bin/chmod 644 /home/students/*/*/OpenVPN/*.p12

Gruß

Alois

martini412 · 26. Oktober 2018 um 20:41

Hallo Alois,
danke für das Skript - super!

Viele Grüße
Jürgen

alois · 27. Oktober 2018 um 11:55

Hallo Jürgen,

DAS Skript stammt von Thorsten Ihm gebührt der Dank.

Gruß

Alois

martini412 · 27. Oktober 2018 um 20:04

Hallo Thorsten,

dann auch dir herzlichen Dank!

Viele Grüße

  Jürgen

MachtDochNix · 21. Januar 2019 um 12:26

Hallo!

Da mir das Verbiegen der Rechte nicht gefällt, habe ich mir jetzt ein Script gebastelt, dass die User richtig setzt. Bitte schön:

#!/bin/bash
#==============================================================================
#title        : openvpn_set_owner.sh
#description  : Set the owners of the OpenVPN files
#author       : MachtDochNix
#date         : 20190121
#version      : 0.1
#usage        : ./openvpn_set_owner.sh
#devendencies : locate
#notes        : The script sets the users of the openvpn files according
#               to the dependencies of the specifications from the paths.
#==============================================================================

# locate-database update
/usr/bin/updatedb

#for file in /home/*/*/OpenVPN/*.p12; do
for file in $(locate -b .p12)
   do
      file_name=${file%%.p12}
      openvpn_user=${file_name##/*/}
      if [ $(stat -c %U $file) == "root" ]
         then
            echo "Benutzer wird berichtigt: -> $openvpn_user!"
            chown $openvpn_user $file_name.*
         else
            echo "$file_name.p12 -> $openvpn_user schon richtig gesetzt!"
      fi
done

Verbesserungsvorschläge sind wie immer gewünscht.

Beste Grüße

Thorsten

alois · 21. Januar 2019 um 12:36

Hallo Thorsten,

reicht einmaliges ausführen?

Gruß

Alois

MachtDochNix · 21. Januar 2019 um 12:41

Moin Alois!

Nee, wenn ein neues Zertifikat ausgestellt wird, dann muss es einmal aufgerufen werden.
Wo der Fehler herkommt konnte ich nicht ergründen, darum nun eben so auf die Schnelle, da ich sämtliche Zertifikate erneuern musste (IPFire-Update).

Beste Grüße

Thorsten