ComputerBase Menü
Aktuelles

openvpn(ios-app) PKCS12 certificate passwort

dideldei

dideldei

Lieutenant
Registriert
Dez. 2014
Beiträge
1.012
Hallo,

ich habe folg. Problem.

Seit 3 Jahren nutze ich die App OPENVPN auf einem iphone. Mir is aufgefallen, dass ich bei der APP ohne Zertifikat mich im Login befinde.
Wenn ich das Zertifikat einbinde, fordert er ein Passwort, was ich nicht kenne.

Das Zertifikat habe ich vom VPN-Server(Synology) exportiert.

Wie bekomme ich das Zertifikat ohne Passwort? Bei Windows10 auf meinen anderen Geräten klappt es aber nicht auf einem IOS-System (iphone).

Im Anhang habe ich 3 Bilder hinzugefügt.

Wie kann ich das Prolem lösen?

gruß dideldei
 

Anhänge

  • 1.jpg
    1.jpg
    63 KB · Aufrufe: 233
  • 2.jpg
    2.jpg
    49,5 KB · Aufrufe: 239
  • 3.jpg
    3.jpg
    57,2 KB · Aufrufe: 219
Normalerweise sind PKCS12 Container immer Passwortgeschützt. Wenn man keinen Wert auf Sicherheit legt, kann man dieses mit OpenSSL Befehlen entfernen. Es gibt aber Anwendung, die bei einer PKCS12 Datei zwingend ein Passwort voraussetzen (könnte bei IOS sein).

Bist du dir sicher, dass kein Passwort vergeben wurde und wenn, kannst du bei der Passwortabfrage ohne Eingabe eines Passwortes auf OK klicken? Alternativ könntest du auch für die PKCS12 Datei ein einfaches Passwort wählen.
 
Ich muss hinzufügen, dass ich die Endung der PKCS12 ändern musste von *.crt in *.ovpn12 - Ansonsten erkennt die APP im IOS die Datei(Zertifikat) nicht bei der Einbindung.

Das Zertifikat wird bei Synology automatisch erstellt und ich habe da keine Option, um überhaupt ein PW erstellen zulassen.
 
Bist du dir sicher, dass die .crt Datei wirklich eine PKCS12 Datei ist? Das ist normalerweise nicht so.
Kannst du die Datei mit einen Editor öffnen und die ersten paar Zeilen zeigen?
 
Im screenshot oben zeigt das iphone ja eine PKCS12-Datei an.

Code: 
-----BEGIN CERTIFICATE----- XXXXXXXXXXXXXX -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- XXXXXXXXXXXXXX -----END CERTIFICATE-----
 
Meiner Meinung nach ist das ein .crt File, aber keine PKSC Datei. Angezeigt wird es vermutlich nur so, weil du die Datei Endung geändert hast.
 
Es war eine *.crt Datei aber die Änderung in *.ovpn12 war nötig, damit das IOS es erkennt.

Hast du dafür eine Lösung?
 
Ich glaub da liegt ein grundsätzliches Konfigurationsproblem des OpenVPN Server vor. Ich lese deinen ersten Post so, dass du dich bisher ohne Zertifikat eingewählt hast. Wenn dem so ist, dann kannst du nicht einfach Zertifikate nehmen und dich damit verbinden. Damit das geht, musst der OpenVPN Server entsprechend konfiguriert sein.
 
Das Zertifkat kommt aber vom VPN-Server (siehe Screenshot Nummer 3.). Die Konfigurationsdaten habe ich exportiert (ca.crt;ca_bundle.crt;readme.txt;vpnconfig.openvpn)

Die beiden *.crt Dateien habe ich geändert in *.opvn12 damit die in der APP sichtbar sind (siehe Anhang 1)

In der vpnconfig.openvpn ist das Zertifikat aber eingebunden.

Das sieht aber danach aus, als wenn das ein Konfigurationsproblem ist, wie du schon sagtest, weil mehr kann ich da nicht tun aber trotzdem musst das Passwort aber da raus.

Brauchst du sonst noch irgendwelche Eckdaten? @Helge01
 
Wenn ich die vpnconfig.openvpn Konfigurationsdatei sehen könnte, wäre es einfacher. Vielleicht ist da ja schon alles drin, Konfiguration und die Zertifikate. Siehst du darin auch sowas wie:

persist-tun
persist-key
client
remote vpn.example.com

<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
xxxxxxxxxxxxxxxxxxxxxxxxxx
-----END PRIVATE KEY-----
</key>

Wenn ja, dann benenne die Datei um in vpnconfig.ovpn und probiere den Import damit.
 
Zuletzt bearbeitet:
DNS, DHCP und certificate sind editiert

Code: 
dev tun
tls-client

remote "editiert" 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS "editiert"

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
"editiert"
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
"editiert"
-----END CERTIFICATE-----

</ca>
 
Ich habe meinen Post #10 noch ergänzt, stehen die zwei Zertifikate wirklich unter <ca> xxx </ca> oder ist das zweite Zertifikat unter <cert> xxx </cert>?

Dann würde nur der private Key in der Konfig Datei fehlen. Musst mal in den anderen Dateien schauen ob du diesen Eintrag findest. -----BEGIN PRIVATE KEY-----
 
Die Datei VPNCpnfig.ovpn erkennt er als normales VPN-Profil, damit er die Logindaten hat. Danach kann ich kein Zertifikat auswählen beim login, obwohl es in der config drin steht (certificate). Aus dem Grund bin ich hier, weil das Problem mit dem Zertifikat besteht.

Alle anderen Dateien haben den selben Inhalt mit "-----BEGIN CERTIFICATE----- XXX -----END CERTIFICATE-----

Kann ich im editor einfach nicht ein Passwort für die PKSC12 setzen?, dann ist das Problem gelöst.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Qnap OpenVPN WARNING No server certificate verification method has been enabled+Frage
Antworten
14
Aufrufe
14.988
error
E
P
Verbindung zu openVPNserver geht nicht (self signed certificate)
Antworten
3
Aufrufe
2.604
Benzer
Benzer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz