Skip to main content
Skip table of contents

TLS-Optionen

Transport Layer Security (TLS) ist der Nachfolger von Secure Sockets Layer (SSL). Es ist ein Standard, der aus mehreren Protokollen besteht, die verschlüsselte Daten zwischen authentifizierten Kommunikationspartnern über potentiell unsichere IP-Netzwerke wie das Internet übertragen können. Dieser Artikel zeigt, wie TLS-Optionen für das OpenVPN-Protokoll in IGEL OS konfiguriert werden.


Menüpfad: Netzwerk > VPN > OpenVPN > [OpenVPN-Verbindung] > TLS-Optionen

Subjektabgleich

Der Subjektabgleich akzeptiert/ablehnt die Serververbindung basierend auf einem benutzerdefinierten Test der eingebetteten X509-Subjektdetails des Serverzertifikats. Die Formatierung dieser Felder wurde in ein stärker standardisiertes Format geändert: C=US, L=Somewhere, CN=JohnDoe, emailAddress=john@example.com.

Weitere Informationen finden Sie im Referenzhandbuch für OpenVPN 2.6.

TLS-Typ des Zertifikats der Gegenstelle

Erforderlich ist, dass das Zertifikat der Gegenstelle mit einer expliziten Schlüsselverwendung und einer erweiterten Schlüsselverwendung basierend auf den RFC3280 TLS-Regeln signiert wurde.

Dies ist eine nützliche Sicherheitsoption für Clients, um sicherzustellen, dass der Host, mit dem sie sich verbinden, ein designierter Server ist. Oder andersherum; für einen Server, um zu überprüfen, dass nur Hosts mit einem Client-Zertifikat eine Verbindung herstellen können.

  • Nicht überprüfen: Nkeine Überprüfung des Remote-Zertifikats. (Standard)

  • Prüfung auf Server-Zertifikat: Die Option --remote-cert-tls server entspricht der Option --remote-cert-ku --remote-cert-eku "TLS Web Server Authentication".

  • Prüfung auf Client-Zertifikat: Die Option --remote-cert-tls client entspricht der Option --remote-cert-ku --remote-cert-eku "TLS Web Client Authentication".

Dies ist eine wichtige Sicherheitsvorkehrung zum Schutz vor einem Man-in-the-Middle-Angriff, bei dem ein autorisierter Client versucht, sich mit einem anderen Client zu verbinden, indem er sich als der Server ausgibt. Der Angriff kann leicht verhindert werden, indem die Clients das Zertifikat des Servers mit einem der folgenden Verfahren verifizieren: --remote-cert-tls, --verify-x509-name, oder --tls-verify.

Schlüsseldatei für zusätzliche TLS-Authentifizierung

Als Pfad geben Sie relativ zu /wfs/OpenVPN ein oder wählen Sie ihn über die Dateiauswahl. Dies fügt eine zusätzliche HMAC-Legitimationsstufe über dem TLS-Kontrollkanal hinzu, um DDOS-Angriffe zu verhindern.

tls-auth (Key Direction) / tls-crypt

  • None: Keine Key Direction. (Standard)

  • tls-auth 0: Wenn die Standardoption nicht verwendet wird, sollte eine Seite der Verbindung Richtung 0 und die andere Richtung 1 verwenden.

  • tls-auth 1: Wenn die Standardoption nicht verwendet wird, sollte eine Seite der Verbindung die Richtung 0 und die andere die Richtung 1 verwenden.

  • tls-crypt: Im Gegensatz zu tls-auth ist das Setzen einer Schlüsselrichtung nicht erforderlich. Verwenden Sie diese Option, wenn die Version des OpenVPN-Servers 2.4 oder höher ist. Weitere Informationen zu tls-crypt finden Sie im Referenzhandbuch für OpenVPN 2.6.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.