Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 5007 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Client Installation für anderen User?

universo
Hallo,
ich betreibe mehrere Astaro ASGs im Firmenumfeld und wir haben zahlreiche SSL VPN User.
Gibt es eine Möglichkeit, den SSL VPN Client inkl. Certs als anderer User runterzuladen oder irgendwie zusammenzukonfigurieren?
Gerade bei Neuinstallationen von Laptops ist es nervig, erst den User zu bitten, sich im UP einzuloggen,da alle User gegen das AD authentifiziert werden. Die User selber haben keine Admin Rechte lokal für eine spätere Installation im Alleingang.
Ich suche also eine elegante Lösung für eine Installation des SSL VPN ohne Login im UP.
Hat da einer ne Idee?
Vielen Dank!


This thread was automatically locked due to age.
Parents
  • 0
    Hi Universo,

    keine wirklich gute Idee dazu. Maximal: temporär für die Einrichtung das AD Passwort umbiegen. Alternativ könntest Du auch die Zertifikate über die Weboberfläche ziehen und entsprechend umbenennen; das ist aber eher die Abteilung "Frickelei" und die Konfigurationsdateien musst Du ja auch danach anpassen.

    Da der User im Zertifikat auch gegen den User geprüft wird, mit dem Du Dich am SSL VPN anmeldest, geht auch leider der Trick der "generischen SSL VPN Konfiguration" nicht.

    Liebe Grüße
    Christian
  • 0 in reply to christianlouis
    Das "Gefrickel" wäre auch ok. Könnte man ja mit ein paar Batch Scripten auch automatisieren.
    Hat das schon mal jemand gemacht?
    Welche Dateien wie umbenennen und was in der Config ändern?
    Die Zertifikate von der Weboberfläche haben doch auch noch ein anderes Format als im Setup Paket des SSL Clients???[:O]
  • 0 in reply to universo
    Selbst noch nie gemacht, aber kann dir sagen wie das in etwa funktionieren sollte:

    Vermutlich musst du die Zertifikate des Benutzers als PKCS#12 exportieren. Da sollte dann auch der Private Key enthalten sein.

    Von diesem kannst du dann mit gpg den Private-Key und das Zertifikat des Benutzers extrahieren (eventuell auch das CA cert? Bin mir nicht sicher). Mit etwas googeln solltest du da fündig werden wie das geht.

    Das CA-Cert sollte bei allen Benutzern das gleiche sein (oder??) und kann von einer (deiner) Config dazu kopiert werden (Wenn nicht im PKCS#12 enthalten).

    Dann noch die ".ovpn"-Datei dazu und anpassen. Diese Zeile hier sollte reichen:
    tls-remote "/C=ch/L=Entenhausen/O=Foo/CN=host.domain.com/emailAddress=donald@ente.com"


    Das sollte eigentlich alles mit einem Script möglich sein (das du, wenn du das so machst, ja sicher auch postest...)
Reply
  • 0 in reply to universo
    Selbst noch nie gemacht, aber kann dir sagen wie das in etwa funktionieren sollte:

    Vermutlich musst du die Zertifikate des Benutzers als PKCS#12 exportieren. Da sollte dann auch der Private Key enthalten sein.

    Von diesem kannst du dann mit gpg den Private-Key und das Zertifikat des Benutzers extrahieren (eventuell auch das CA cert? Bin mir nicht sicher). Mit etwas googeln solltest du da fündig werden wie das geht.

    Das CA-Cert sollte bei allen Benutzern das gleiche sein (oder??) und kann von einer (deiner) Config dazu kopiert werden (Wenn nicht im PKCS#12 enthalten).

    Dann noch die ".ovpn"-Datei dazu und anpassen. Diese Zeile hier sollte reichen:
    tls-remote "/C=ch/L=Entenhausen/O=Foo/CN=host.domain.com/emailAddress=donald@ente.com"


    Das sollte eigentlich alles mit einem Script möglich sein (das du, wenn du das so machst, ja sicher auch postest...)
Children
No Data