IBM Cloud Docs
Client-to-Site-Authentifizierung einrichten

Client-to-Site-Authentifizierung einrichten

Konfigurieren Sie Ihre Authentifizierungseinstellungen für die VPN-Server und VPN-Clients. Zertifikate werden über IBM Cloud® Secrets Managerverwaltet.

IAM-Autorisierung zwischen Services erstellen

Gehen Sie folgendermaßen vor, um eine IAM-Dienst-zu-Dienst-Autorisierung für Ihren VPN-Server und IBM Cloud Secrets Manager zu erstellen:

Sie können die IAM-Autorisierung von Dienst zu Dienst auch auf der Seite für die Bereitstellung des VPN-Servers einrichten oder das Seitenpanel Autorisierung bearbeiten verwenden.

  1. Gehen Sie in der Konsole IBM Cloud auf die Seite Berechtigungen verwalten und klicken Sie auf Erstellen.
  2. Wählen Sie im Menü VPC-Infrastrukturdienste. Wählen Sie anschließend Ressourcen basierend auf ausgewählten Attributen aus.
  3. Wählen Sie Ressourcentyp > Client VPN for VPC aus.
  4. Wählen Sie für den Zieldienst Secrets Manager.
  5. Lassen Sie Alle Ressourcen ausgewählt. Wählen Sie anschließend das Kontrollkästchen SecretsReader aus.
  6. Klicken Sie auf Autorisieren.

VPN-Serverzertifikate und -Clientzertifikate verwalten

Zertifikat in Secrets Manager importieren

Die folgende Prozedur verwendet OpenVPN easy-rsa, um die VPN-Server- und Client-Zertifikate zu generieren, und importiert diese Zertifikate anschließend in Secrets Manager. Weitere Informationen finden Sie in der Readme-Datei für Easy-RSA 3 Quickstart.

  1. Klonen Sie das Easy-RSA 3-Repository in Ihren lokalen Ordner:

    git clone https://github.com/OpenVPN/easy-rsa.git
cd easy-rsa/easyrsa3

  2. Erstellen Sie eine PKI (Public Key Infrastructure) und eine Zertifizierungsstelle (Certificate Authority, CA):

    ./easyrsa init-pki
./easyrsa build-ca nopass

    Überprüfen Sie, ob das CA-Zertifikat im Pfad ./pki/ca.crt generiert wird. Wie im nächsten Abschnitt beschrieben, wird beim Importieren der Server- oder Client-Zertifikate in Secrets Manager das Zertifikat, das zum Signieren anderer Zertifikate verwendet wurde, als Zwischenzertifikat benötigt.

  3. Erzeugen Sie ein VPN-Server-Zertifikat:

    ./easyrsa build-server-full vpn-server.vpn.ibm.com nopass

    Stellen Sie sicher, dass der öffentliche Schlüssel des VPN-Servers im Pfad ./pki/issued/vpn-server.vpn.ibm.com.crt generiert wird und dass sich der private Schlüssel im Pfad ./pki/private/vpn-server.vpn.ibm.com.key befindet.

  4. Erzeugen Sie ein VPN-Client-Zertifikat:

    ./easyrsa build-client-full client1.vpn.ibm.com nopass

    Stellen Sie sicher, dass der öffentliche Schlüssel des VPN-Clients im Pfad ./pki/issued/client1.vpn.ibm.com.crt generiert wird und dass sich der private Schlüssel im Pfad ./pki/private/client1.vpn.ibm.com.key befindet.

  5. Wenn Sie weitere VPN-Clientzertifikate erstellen müssen, wiederholen Sie Schritt 4.

Wichtige Hinweise:

  • Im vorherigen Beispiel werden der VPN-Serverzertifikate und -Clientzertifikate von derselben Zertifizierungsstelle signiert. Wenn Sie verschiedene Zertifizierungsstellen zum Signieren des Clientzertifikats verwenden möchten, kopieren Sie den Ordner easyrsa3 in einen neuen Pfad und führen Sie die Schritte 2 und 4 aus.

  • Wenn Sie bereits über das VPN-Serverzertifikat von anderen Zertifizierungsstellen verfügen, stellen Sie sicher, dass das Zertifikat über die erweiterte Schlüsselnutzung verfügt: TLS Web Client Authentication. Sie können den folgenden Befehl verwenden, um die Zertifikatsinformationen basierend auf dem Inhalt der codierten Zertifikatsdatei zu überprüfen: cat YOUR-CERTIFICATE-FILE | openssl x509 -noout -text.

  • Wenn das Zertifikat als VPN-Client-Zertifikat zur Authentifizierung des Clients verwendet wird, müssen Sie die Zertifikatsdatei und die Zwischenzertifikatsdatei hochladen. Wenn Sie beispielsweise verschiedene Clientzertifikate verwenden, um verschiedene Benutzer zu authentifizieren, stellen Sie sicher, dass diese Zertifikate von derselben Zertifizierungsstelle signiert wurden und dass Sie eines der Clientzertifikate (nur Zertifikatsdatei und Zwischenzertifikatsdatei ) in Secrets Managerhochgeladen haben.

    Sie können eine Zertifizierungsstellenkette verwenden, um die Zertifikate (Zwischenzertifizierungsstelle 1, Zwischenzertifizierungsstelle 2 und Stammzertifizierungsstelle) in einer einzigen Datei zu bündeln und in die Zwischenzertifikatsdatei hochzuladen. Beachten Sie außerdem, dass Sie mehrere Clientzertifikate offline mit derselben Zertifizierungsstelle erstellen können, ohne die Zertifikate in Secrets Managerhochladen zu müssen.

VPN-Serverzertifikate in Secrets Manager importieren

Gehen Sie folgendermaßen vor, um VPN-Server-Zertifikate in Secrets Manager zu importieren:

  1. Wenn Sie noch keine Instanz von Secrets Manager haben, rufen Sie die Seite Secrets Manager auf. Vervollständigen Sie dann die Informationen und klicken Sie auf Erstellen, um eine Secrets Manager Instanz zu erstellen.

    Weitere Informationen finden Sie im Abschnitt zur Bestellung von Zertifikaten für Secrets Manager.

  2. Klicken Sie in der Konsole auf das Symbol für das Navigationsmenü > Ressourcenliste > Sicherheit

  3. Wählen Sie aus der Liste der Dienste Ihre Instanz von Secrets Manager aus.

  4. Klicken Sie in der Tabelle Geheime Schlüssel auf Hinzufügen.

  5. Klicken Sie auf Importiertes Zertifikat und dann auf Weiter.

  6. Folgen Sie diesen Schritten, um das Zertifikat zu importieren:

    1. Fügen Sie einen Namen und eine Beschreibung hinzu, um Ihren geheimen Schlüssel leicht identifizieren zu können.
    2. Wählen Sie die Gruppe geheimer Schlüssel aus, die Sie dem geheimen Schlüssel zuordnen möchten.
    3. Optional: Fügen Sie Bezeichnungen hinzu, die Ihnen helfen, nach ähnlichen geheimen Schlüsseln in Ihrer Instanz zu suchen.
    4. Optional: Fügen Sie Metadaten zu Ihrem Geheimnis oder zu einer bestimmten Version Ihres Geheimnisses hinzu.
    5. Klicken Sie auf Weiter und wählen Sie die Kachel Ein Zertifikat importieren.
    6. Klicken Sie auf Durchsuchen und wählen Sie ./pki/issued/vpn-server.vpn.ibm.com.crt als Zertifikatsdatei aus.
    7. Klicken Sie auf Durchsuchen und wählen Sie ./pki/private/vpn-server.vpn.ibm.com.key als privaten Schlüssel des Zertifikats aus.
    8. Klicken Sie auf Durchsuchen und wählen Sie ./pki/ca.crt als Zwischenzertifikat aus.
    9. Klicken Sie auf Weiter.
    10. Überprüfen Sie die Angaben zu Ihrem Zertifikat und klicken Sie auf Hinzufügen.

Weitere Informationen finden Sie unter Vorhandene Zertifikate importieren.

Wichtige Hinweise:

  • In diesem Beispiel sind die VPN-Server- und Client-Zertifikate von derselben Zertifizierungsstelle signiert, so dass Sie nur das VPN-Server-Zertifikat hochladen müssen. Sie müssen das Zertifikat auch als VPN-Serverzertifikat verwenden und den VPN-Client authentifizieren. Wenn Ihr VPN-Server- und Ihr Client-Zertifikat von unterschiedlichen Zertifizierungsstellen signiert sind, müssen Sie sie getrennt hochladen.

  • Wenn Sie das Zertifikat in Secrets Manager aktualisiert haben, weiß der VPN-Server nichts von der Zertifikatsaktualisierung. Sie müssen das Zertifikat mit einer anderen CRN neu importieren und dann den VPN-Server mit der neuen Zertifikats-CRN aktualisieren.

  • Wenn das Zertifikat als VPN-Server-Zertifikat verwendet wird, müssen Sie die Zertifikatsdatei, die Datei des privaten Schlüssels und die Zwischenzertifikatsdatei hochladen. Wenn das Zertifikat als VPN-Client-Zertifikat zur Authentifizierung des Clients verwendet wird, müssen Sie die Zertifikatsdatei und die Zwischenzertifikatsdatei hochladen.

    Sie können eine Zertifizierungsstellenkette verwenden, um die Zertifikate (Zwischenzertifizierungsstelle 1, Zwischenzertifizierungsstelle 2 und Stammzertifizierungsstelle) in einer einzigen Datei zu bündeln und in die Zwischenzertifikatsdatei hochzuladen.

Öffentliches Zertifikat mit Secrets Manager bestellen

Unter Secrets Manager können Sie ein öffentliches SSL/TLS-Zertifikat als VPN-Server-Zertifikat bestellen. Da das Stammzertifikat der öffentlichen Zertifizierungsstelle nicht in Secrets Managergespeichert ist, speichert Secrets Manager nur die Zwischenzertifikate. Sie benötigen die Stammzertifikate von Let's Encrypt, die als .pem-Datei gespeichert werden. Die beiden Dateien, die Sie benötigen, befinden sich in https://letsencrypt.org/certs/lets-encrypt-r3.pem und https://letsencrypt.org/certs/isrgrootx1.pem. Aus Sicherheitsgründen wird jedoch empfohlen, dass Sie Ihr eigenes Stammzertifikat herunterladen und in eine Datei einbinden. Verwenden Sie außerdem beim Herunterladen und Aktualisieren des VPN-Clientprofils dieses Stammzertifikat, um den Abschnitt <ca> im Clientprofil zu ersetzen.

Weitere Informationen über die Let's Encrypt-Zertifikatskette finden Sie unter https://letsencrypt.org/certificates/.

-----BEGIN CERTIFICATE-----
MIIFFjCCAv6gAwIBAgIRAJErCErPDBinU/bWLiWnX1owDQYJKoZIhvcNAQELBQAw
TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh
cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMjAwOTA0MDAwMDAw
WhcNMjUwOTE1MTYwMDAwWjAyMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNTGV0J3Mg
RW5jcnlwdDELMAkGA1UEAxMCUjMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQC7AhUozPaglNMPEuyNVZLD+ILxmaZ6QoinXSaqtSu5xUyxr45r+XXIo9cP
R5QUVTVXjJ6oojkZ9YI8QqlObvU7wy7bjcCwXPNZOOftz2nwWgsbvsCUJCWH+jdx
sxPnHKzhm+/b5DtFUkWWqcFTzjTIUu61ru2P3mBw4qVUq7ZtDpelQDRrK9O8Zutm
NHz6a4uPVymZ+DAXXbpyb/uBxa3Shlg9F8fnCbvxK/eG3MHacV3URuPMrSXBiLxg
Z3Vms/EY96Jc5lP/Ooi2R6X/ExjqmAl3P51T+c8B5fWmcBcUr2Ok/5mzk53cU6cG
/kiFHaFpriV1uxPMUgP17VGhi9sVAgMBAAGjggEIMIIBBDAOBgNVHQ8BAf8EBAMC
AYYwHQYDVR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMBMBIGA1UdEwEB/wQIMAYB
Af8CAQAwHQYDVR0OBBYEFBQusxe3WFbLrlAJQOYfr52LFMLGMB8GA1UdIwQYMBaA
FHm0WeZ7tuXkAXOACIjIGlj26ZtuMDIGCCsGAQUFBwEBBCYwJDAiBggrBgEFBQcw
AoYWaHR0cDovL3gxLmkubGVuY3Iub3JnLzAnBgNVHR8EIDAeMBygGqAYhhZodHRw
Oi8veDEuYy5sZW5jci5vcmcvMCIGA1UdIAQbMBkwCAYGZ4EMAQIBMA0GCysGAQQB
gt8TAQEBMA0GCSqGSIb3DQEBCwUAA4ICAQCFyk5HPqP3hUSFvNVneLKYY611TR6W
PTNlclQtgaDqw+34IL9fzLdwALduO/ZelN7kIJ+m74uyA+eitRY8kc607TkC53wl
ikfmZW4/RvTZ8M6UK+5UzhK8jCdLuMGYL6KvzXGRSgi3yLgjewQtCPkIVz6D2QQz
CkcheAmCJ8MqyJu5zlzyZMjAvnnAT45tRAxekrsu94sQ4egdRCnbWSDtY7kh+BIm
lJNXoB1lBMEKIq4QDUOXoRgffuDghje1WrG9ML+Hbisq/yFOGwXD9RiX8F6sw6W4
avAuvDszue5L3sz85K+EC4Y/wFVDNvZo4TYXao6Z0f+lQKc0t8DQYzk1OXVu8rp2
yJMC6alLbBfODALZvYH7n7do1AZls4I9d1P4jnkDrQoxB3UqQ9hVl3LEKQ73xF1O
yK5GhDDX8oVfGKF5u+decIsH4YaTw7mP3GFxJSqv3+0lUFJoi5Lc5da149p90Ids
hCExroL1+7mryIkXPeFM5TgO9r0rvZaBFOvV2z0gp35Z0+L4WPlbuEjN/lxPFin+
HlUjr8gRsI3qfJOQFy/9rKIJR0Y/8Omwt/8oTWgy1mdeHmmjk7j1nYsvC9JSQ6Zv
MldlTTKB3zhThV1+XWYp6rjd5JW1zbVWEkLNxE7GJThEUG3szgBVGP7pSWTUTsqX
nLRbwHOoq7hHwg==
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----

Die bestellten Zertifikate sind öffentliche SSL/TLS-Zertifikate und dürfen nur als VPN-Serverzertifikat verwendet werden. Sie können die bestellten Zertifikate aus den folgenden Gründen nicht für die Authentifizierung der VPN-Clients verwenden:

  • Jeder kann ein neues Zertifikat bei einer öffentlichen CA bestellen. Anschließend kann die Authentifizierung übergeben geben, wenn Sie öffentliche SSL/TLS-Zertifikate für die Authentifizierung Ihres VPN-Clients verwenden.
  • Sie können keine Zertifikatswiderrufsliste (CRL) erstellen, um ein VPN-Client-Zertifikat mit einer öffentlichen CA zu widerrufen.

Sie müssen Ihre eigene CA erstellen und das CA-Zertifikat in Secrets Manager importieren, um Ihren VPN-Client zu authentifizieren.

Privates Zertifikat verwenden

Sie können ein privates Zertifikat für Secrets Manager in Ihrem VPN-Server verwenden. Beachten Sie dabei die folgenden wichtigen Aspekte:

  • Alle Zertifizierungsstellen in einer CA-Kette müssen in einer Secrets Manager-Instanz enthalten sein. Außerdem müssen Sie die Stammzertifizierungsstelle in Secrets Managererstellen. Wenn Sie eine temporäre Zertifizierungsstelle auswählen, sind die folgenden Optionen erforderlich , um sicherzustellen, dass jede Zertifizierungsstelle gefunden werden kann, während die Zertifizierungsstellenkette eines privaten Zertifikats in Ihrem VPN-Server überprüft wird:

    • Im Bereich "Typ" müssen Sie Interne Signatur auswählen.
    • Im Abschnitt "Typ" müssen Sie den Schalter Verschlüsseln URL aktivieren, wenn Sie eine Zertifizierungsstelle erstellen, um das ausstellende Zertifikat URL in Endteilnehmerzertifikaten zu verschlüsseln. Es funktioniert nicht, wenn Sie URL nach der Erstellung der Zertifizierungsstelle aktivieren.

  • Die maximale Anzahl von Zertifizierungsstellen in einer privaten Zertifizierungsstellenkette ist 11 (eine Stammzertifizierungsstelle und maximal 10 temporäre Zertifizierungsstellen).

  • Aktivieren Sie im Abschnitt "Zertifikatswiderrufsliste" sowohl CRL-Erstellung als auch CRL-Verteilungspunkte, wenn Sie die CA-CRL eines privaten Zertifikats verwenden möchten. Ein widerrufenes Zertifikat wird von den Anwendungen nach einer Stunde nicht mehr anerkannt.

  • Die Zertifikatswiderrufsliste der Zertifizierungsstelle funktioniert nur, wenn Sie beim Erstellen eines VPN-Servers keine Zertifikatswiderrufsliste hochladen. Sie müssen keine CA-CRL aktivieren, wenn die CRL des VPN-Servers bereits hochgeladen wurde.

  • Gehen Sie beim Erstellen einer Vorlage für eine temporäre Zertifizierungsstelle im Abschnitt "Zertifikatsrollen" wie folgt vor:

    • Wählen Sie das Kontrollkästchen Zertifikate für Server verwenden aus, wenn die erstellte Zertifizierungsstelle das Serverzertifikat für den VPN-Server signiert.
    • Wählen Sie das Kontrollkästchen Zertifikate für Client verwenden aus, wenn die erstellte Zertifizierungsstelle das Clientzertifikat für den VPN-Server signiert.
    • Aktivieren Sie die Kontrollkästchen Zertifikate für Server verwenden und Zertifikate für Client verwenden, wenn die erstellte Zertifizierungsstelle sowohl Server-als auch Clientzertifikate für den VPN-Server signiert.

  • Stellen Sie sicher, dass jede CA beim Erstellen in der Secrets Manager Instanz einen eindeutigen allgemeinen Namen in der CA-Kette hat.

Weitere Informationen finden Sie unter Private Zertifikate erstellen in der Dokumentation zu Secrets Manager.

Zertifikats-CRN suchen

Wenn Sie die Authentifizierung für einen Client-to-Site-VPN-Server während der Bereitstellung über die Benutzeroberfläche konfigurieren, können Sie entweder die Secrets Manager und das SSL-Zertifikat oder die CRN des Zertifikats angeben. Dies kann sinnvoll sein, wenn Sie Secrets Manager nicht im Menü sehen können, d. h. wenn Sie keinen Zugriff auf die Instanz Secrets Manager haben. Beachten Sie, dass Sie den CRN eingeben müssen, wenn Sie die API zum Erstellen eines Client-zu-Site-VPN-Servers verwenden.

Um die CRN zu erhalten, müssen Sie die Berechtigung zum Zugriff auf die Instanz Secrets Manager haben.

Führen Sie die folgenden Schritte aus, um nach dem CRN eines Zertifikats zu suchen:

  1. Gehen Sie in der Konsole IBM Cloud auf Navigation, Menü, Symbol, Menü, Symbol > Ressourcenliste**.
  2. Klicken Sie auf " Sicherheit" und wählen Sie dann die Secrets Manager aus, für die Sie die CRN suchen möchten.
  3. Wählen Sie eine beliebige Stelle in der Tabellenzeile des Zertifikats aus, um die Seitenanzeige mit den Zertifikatdetails zu öffnen. Der CRN des Zertifikats wird in der seitlichen Anzeige aufgelistet.

Benutzer-IDs und Kenncodes konfigurieren

So konfigurieren Sie die Authentifizierung für VPN-Client-Benutzer:

  1. Der VPN-Administrator lädt den Benutzer des VPN-Clients für das Konto ein, in dem sich der VPN-Server befindet.

  2. Der VPN-Administrator ordnet dem Benutzer des VPN-Clients eine IAM-Berechtigung zu. Diese Berechtigung ermöglicht es diesem Benutzer, eine Verbindung zum VPN-Server herzustellen. Weitere Informationen finden Sie unter IAM-Zugriffsgruppe erstellen und die Rolle für die Verbindung zum VPN-Server erteilen.

  3. Der Benutzer des VPN-Clients öffnet die folgende Website, um einen Kenncode für die Benutzer-ID zu generieren:

    https://iam.cloud.ibm.com/identity/passcode

  4. Der VPN-Clientbenutzer gibt den Kenncode für seinen openVPN-Client ein und startet die Verbindung zum VPN-Server. Weitere Informationen finden Sie unter VPN-Clientumgebung einrichten und Verbindung zu einem VPN-Server herstellen.