RSA Zertifikat für Draytek Router erstellen / signieren
-
Ich möchte mein IPSec VPN mit Zertifikaten absichern. Zwischen zwei pfSense ist das alles klar.
Ich habe hier nun noch ein paar Draytek Vigor (2910, 2860) Router. Auf diesen kann ich entweder einen CSR erstellen und von einer CA (pfSense) signieren lassen oder ein fertiges Zertifikat importieren. Leider bekomme ich beides nicht hin.
Das signieren des CSR scheitert daran, dass ich nicht finde ich wie das mit pfSense machen soll. Übersehe ich was, oder ist das schlicht nicht vorgesehen?
Der Import eines auf der pfSense erzeugten Zertifikates in den Draytek Router schlägt auch fehl. Leider gibt es da keine aussagekräftige Fehlermeldung am Draytek Router, die weiterhelfen würde. Die Meldung deutet lediglich auf ein falsches Format hin. Aber welches ist das Richtige?
Ich hoffe jemand hat das schonmal hinbekommen und kann mir Tipps geben.
-
Übersehe ich was, oder ist das schlicht nicht vorgesehen?
In der Zertifikatsverwaltung ist das möglich, sofern du eine eigene CA erstellt hast. Einfach neues Zertifikat erstellen und dort im Dropdown dann "sign CSR" auswählen und einkopieren.Die Meldung deutet lediglich auf ein falsches Format hin.
Da gibt es eigentlich nur 2, das typische PEM Zertifikat und dann als P(KCS)12 Bundle. Am Einfachsten ist aber hier die Doku des Draytek zu konsultieren in welcher Form er die haben will. -
Hallo JeGr,
danke für Deine Tipps.
Übersehe ich was, oder ist das schlicht nicht vorgesehen?
In der Zertifikatsverwaltung ist das möglich, sofern du eine eigene CA erstellt hast. Einfach neues Zertifikat erstellen und dort im Dropdown dann "sign CSR" auswählen und einkopieren.So habe ich mir das auch vorgestellt, aber leider finde ich keinen derartigen Punkt. Eine eigene CA ist erstellt. Ich hänge mal ein Bild an, wie das bei mir dann aussieht.
Die Meldung deutet lediglich auf ein falsches Format hin.
Da gibt es eigentlich nur 2, das typische PEM Zertifikat und dann als P(KCS)12 Bundle. Am Einfachsten ist aber hier die Doku des Draytek zu konsultieren in welcher Form er die haben will.Für die 28xxer Serie habe ich die Info gefunden. Die Zertifikate sollen P12 sein. OK, probiert - und Fail. Aber, es gibt bei der Serie auch die Möglichkeit, Cert und Key getrennt anzugeben, damit klappt es mit den jeweiligen Exportfiles aus der pfSense.
Leider geht das nicht für die 2910er Vigors. Dort kann man leider nicht auswählen, in welcher Form man das Zertifikat vorliegen hat. Auch sagt das Manual nix über das benötigte Format der Zertifikate. Ich habe es dort mit allen möglichen Varianten probiert, aber scheitere. Ich setzte nun alle Hoffnung für diese Geräte in Variante 1, falls der Punkt in der pfSense gefunden wird ;).
-
Ah stimmt, da hatte ich was falsch im Kopf. Der CSR ist für die Zertifizierung via externer CA. Mist. Dann ist deine Vermutung wahrscheinlich korrekt und es gibt keine interne Methode einen CSR zu unterschreiben - wenigstens über die GUI nicht.
Allerdings hast du doch beim Certificate Tab 3 Download Möglichkeiten - eine davon export als p12 File. Funktioniert das denn nicht?
-
Ich würd's ja auch über die Console machen, zur Not eben, aber da fehlt mir das Wissen. Den openssl Befehl würde man schon noch zusammen bekommen, aber wie und wo soll ich die CSR in die Kiste bekommen? Und wo würde ich die nötigen Dateien der CA im Filesystem finden? Hast Du hier Infos?
Ich habe auch inzwischen einen anderen englischsprachigen Thread gefunden, der das selbe Problem behandelt (sign external CSR), aber auch dort keine Lösung :-\ . Im Bugtracker sieht es auch so aus, dass jetzt jemand die Funktion angefordert hat, mal sehen was da passiert. Ist schon traurig, dass das nicht geht.
Die andere Variante hatte ich schon versucht. P12 exportiert, leider fressen die Draytek Router die Files aber nicht :(.
-
Keiner davon? Vielleicht erwarten Sie kein komplettes P12 Paket o.ä. da könnte man ja durchaus noch andere Varianten versuchen indem man Key und Cert sich abgreift und neu verpackt…
Dass das ansonsten nicht via GUI funktioniert ist sicher schade, aber würde ich jetzt nicht als Versäumnis der pfSense Jungs sehen. Ich kenne kaum eine Firewall/Router Appliance die überhaupt eine so umfangreiche Zertifikatsverwaltung mitliefert. Dass dann nicht alle CA/Zertifikats Use-Cases mit abgedeckt sind kann ich da verstehen, denn die sind im Normalfall ja kaum notwendig. Und dass die Drayteks jetzt Probleme haben, default x509 oder p12 zu importieren ist jetzt auch kein schönes Verhalten.
-
:) Nee, als Versäumnis möchte ich das auch gar nicht bezeichnen. Wie Du schon schreibst, die Zertifikatsverwaltung ist so umfangreich, dass ich einfach gedacht hatte das dort auch zu finden - im Prinzip gehört ja auch nicht mehr viel dazu. Dann bleibt eben im Moment das Prinzip "Hoffnung" ;)
Ansonsten habe ich mit dem Draytek Vigor 2910 jetzt aufgegeben. Ich habe nochmal alle Formate versucht - nix. In einem uralten Text habe ich jetzt gelesen, dass über den Import nur Zertifikate importiert werden können, die vorher auf diesem Router erstellt wurden. Die Möglichkeiten mit P12 oder PEM Cert+Key Import gibt es erst bei den neuen Modellen. Der 2910 ist ja nun eigentlich auch schon lange EOL, nur die funktionieren eben einfach noch … läuft und läuft ... 8). Bleibt jetzt also erstmal nur eine externe CA, die den CSR signieren kann, oder es muss halt mal ein neuer Router her.
-
Nun ja wenn du noch irgendwo einen Rechner rumstehen hast mit Linux/BSD drauf (oder eine VM), dann könntest du mit einfachen EasyRSA Tools (eine Skriptsammlung) deine CA und Zertifikate basteln.
Andernfalls wäre unter Windows auch XCA ne Möglichkeit:
http://sourceforge.net/projects/xca/Grüße
