staging.inyokaproject.org

Hallo Leute,

wir haben in der Firma eine 2-FA eingeführt für unsere VPN-User. Dafür haben wir ein Zertifikat in Form von einer CRT-Datei für die vertrauenswürdige Stammzertifizierungsstelle erhalten und ein Benutzerzertifikat in Form von einer P12-Datei geschützt mit einem Passwort. Bei Windows-Betriebssystemen installiere ich dies in den Benutzer-Zertifikatsspeicher und bei MACs in den lokalen Zertifizierungsspeicher und alles funktioniert wie es soll. Jetzt soll ich noch für unsere User die ein Ubuntu-Notebook nutzen, dies ebenfalls installieren damit die sich mit unserem Gateway verbinden können.

Ich finde aber irgendwie keine Vorgehensweise für Ubuntu und hoffe daß mir das hier jemand kurz erklären kann damit ich das für Ubuntu ebenfalls hinbekommen kann.

Wo finde ich den Benutzer-Zertifizierungsspeicher und wie installiere ich diese Zertifikate unter Ubuntu 22.04 LTS Desktop?

Schon einmal im Voraus vielen Dank für eure Mühe.

Beim VPN musst du das im NetworkManager angeben. Schaue in die Einstellungen der VPN-Verbindung.

Ich habe diese Einstellungen im VPN-Manager schon gefunden, doch leider komme ich da nicht weiter. Ich habe in der entsprechenden VPN-Einstellungen 4 Reiter: 1. Informationen 2. Identität 3. IPv4 4. IPv6

So, der Reiter Identität scheint der Richtige zu sein. Dort finde ich das Feld für 'CA-Zertifikat' und klicke mich im Dateimanager zur CRT-Datei und wähle diese aus. Das ist das Zertifikat für die 'Vertrauenswürdige Stammzertifizierungsstelle', richtig? Weiter unten, im Bereich 'Zertifikat-Legitimierung' im Feld 'Benutzerzertifikat' würde ich nun das Benutzerzertifikat, im Form von der P12-Datei hinterlegen. Zur Auswahl stehen aber nur CRT-Dateien. Da sollte ich doch das Benutzerzertifikat angeben welches mit einem Passwort versehen ist, richtig? Das kann ich aber nicht da mir die Datei nicht zur Auswahl angeboten wird. Unter diesem Feld steht ein weiters Feld, welches offensichtlich dazugehört, der 'Geheime Schlüssel', wo ich wiederrum eine Datei angeben muss. Auch dort finde ich lediglich die CRT-Datei des Vertrauenswürdigen Stammzertifikatsstellen-Zertifikat.

Ich gehe davon aus das ich hier schon richtig bin, oder? Ich gehe davon aus das unter CA-Zertifikat das 'Vertrauenswürdige Stammzertifizierungsstellen'-Zertifikat angeben muss, richtig? Wenn bisher richtig, scheiterts es nun lediglich noch am Benutzerzertifikat selber. Wie kann ich meine P12-Datei da hinterlegen? Muss ich diese konvertieren? Wenn ja, wie und bekomme ich durch das Konvertieren auch eine Schlüsseldatei für das hinterlegen im Feld 'Geheimer Schlüssel'?

Danke für die Hilfe.

Oh je, da hast du aber eine anspruchsvolle Aufgabe erhalten.

Linux/Ubuntu schmollt ja bezüglich Sicherheit in einer eigenen Welt (GPG). Die Nutzung eines S/MIME Standards ist hier leider immer noch ein (igittigitt) Thema, das man ungern anfasst. Die Konsequenz ist, dass man dann lieber Windows/Mac bei größeren Installationen statt Linux verwendet.

Den Komfort, den du z.B. bei Windows kennst, gibt es bei Linux leider nicht (z.B. Unterscheidung von Stamm- und Zwischenzertifizierungsstellen) so elegant (also weder von der Architektur noch von den Tools). Aber es wird schon teilweise unterstützt.

Damit deinem .p12 (.pfx) Zertifikat vertraut werden kann, muss du Ubuntu mitteilen, dass es der CA, die das .p12 Zertifikat signiert hat vertrauen soll. Dieses Zertifikat hast du ja bereits:

Dafür haben wir ein Zertifikat in Form von einer CRT-Datei für die vertrauenswürdige Stammzertifizierungsstelle erhalten ...

Da es bei Ubuntu die Zwischenzertifizierungsstellen (wie bei Windows) nicht gibt, muss man das "vertrauenswürdige Stammzertifikat" in die Liste der (Root) Stammzertifikate eintragen. Hierzu gibt es eine gute Beschreibung ▶ bei lanbugs.de ◀ . Das sollte auch relativ problemlos gehen, da du die erforderliche .cer Datei ja aus dem .crt Zertifikat leicht erstellen kannst. Ob diese Aktion (dpkg-reconfigure ca-certificates) erfolgreich war, kann man mit dem grafischen Programm "seahorse" bei "Zertifikate" → "System trust" überprüfen. Zwar ist "seahorse" auch wieder ein GPG Tool, doch lassen sich die S/MIME Stammzertifikate wenigstens anzeigen (Doppelklick aufs Zertifikat → Details).

Beim Anlegen der VPN Verbindung solltest du wissen, auf welcher Basis die Verbindung aufgebaut werden soll (L2TP/Cisco o.Ä.). Bei z.B. L2TP kannst du "IPsec Settings" konfigurieren uns statt des PSK ein TLS Zertifikat konfigurieren. Hier kannst du unter "Certificate" auch die .p12 Datei auswählen.

Da ich nicht weis, wie die VPN-Verbindung bei dir aussehen soll, kann ich natürlich keine detailliertere Vorgehensweise beschreiben.

Ich denke aber, dass mit den obigen Angaben weiter kommen kannst.

Boah. Mein Vorgesetzter ist ein Fan von Linux und mich hat er in den letzten 17 Jahren so langsam auch damit angesteckt. Aber das mit den Zertifikaten ist schon ein Unding. Wieso kann man das nicht elegant wie in Win oder Mac anbieten? Ich rede dabei nicht von GUIs und Superduper Tools und DAU-sicher, aber eben konfortabler....

Ich werde mir deine 'Anleitung' mal morgen zu Herzen nehmen und es ausprobieren. Sollte ich nicht klarkommen so werde ich nochmals nachfragen.

Vielen lieben Dank an eure Mühe Leute!