Hallo Forum,
ich möchte die SSL-VPN Umgebung von 10 auf 11 Migrieren. Da ich nicht allen VPN-Useren eine neue SSL-Konfiguration zukommen lassen möchte, dachte ich mir ich kann von der 10er Box die Zertifikate exportieren und auf der 11er importieren, im Anschluss die User anlegen und die Kennwörter entsprechend den alten zu setzen.
Von der 10er Box habe ich alle Zertifikate als .p12 und als .pem exportiert. Der Import der p12-Dateien schlägt fehl, .pem lässt sich importieren.
Aber ich habe in einem ersten unüberlegten Schritt auf der 11er Box schon Zertifikate angelegt. Ich habe zwar alle Zertifikate per WebGUI gelöscht, erhalte jetzt aber beim Import die Fehlermeldung dass ein Zetrtifikat schon existiert und nicht importiert werden kann.
Jetzt gibt es wie immer zwei Möglichkeiten,
- ich baue die SSL-Zertifikatsstruktur fürs VPN neu auf, dann würde ich gerne ein offizielles Zertifikat nutzen und muss dann halt in den sauren Apfel beissen und alles neu machen
- ich finde mit Eurer Hilfe die Möglichkeit bei den Zertifikaten komplett neu zu beginnen ohne die Boxy komplett rücksetzen zu müssen. Ich habe schon 6 Stunden damit verbraten, daß Regelwerk nachzubauen....
Lt. cli "cert get" haben die Zertifikate Status Revoked, wie werde ich die los? Mit der CLi, kann ich die wohl nicht löschen.
Was wäre Euer Vorschlag, wie ist das zu bewerkstelligen.
Danke
Grüße
Georg
SSL VPN Migration von 10 auf 11
Moderator: Securepoint
Erstmal der Disclaimer: Wenn beim Rumspielen an der DB was kaputt geht, brauchen Sie gar nicht erst anrufen 
Am besten, Sie fertigen vor den Änderungen ein Backup der Config an. Dass Sie die Änderungen nur durchführen, wenn Sie nicht nur Remote an das Gerät kommen, sollte klar sein.
Loggen Sie sich mit dem root-Benutzer auf einer SSH-Konsole an und führen folgenden Befehl aus:
Bitte beachten Sie, dass auf diese Art gelöschte Zertifikate, die bereits revoked waren, von der Firewall wieder als gültig erkannt werden, sofern Sie die zugehörige CA nicht ebenfalls löschen.
Am besten, Sie fertigen vor den Änderungen ein Backup der Config an. Dass Sie die Änderungen nur durchführen, wenn Sie nicht nur Remote an das Gerät kommen, sollte klar sein.Loggen Sie sich mit dem root-Benutzer auf einer SSH-Konsole an und führen folgenden Befehl aus:
Code: Alles auswählen
# sqlite3 /tmp/running.db "delete from objects where object_name = 'EXAKTER_NAME_DES_ZERTIFIKATS' "
Hallo,
ich habe den Eindruck, daß der SQL-Befehl leider nichts tut.
Ich kann den "delete from objects where object_name = 'Name_des_Objektes'" ausführen so oft ich will, wenn ich z.b einen "select count(object_name) from objects;" ausführe, dann bleibt die Zahl immer gleich und bei enem select * from objects wird das Objekt auch noch angezeigt. Irgend etwas fehlt. Commit ist leider nicht die Lsg...
Danke
Grüße
ich habe den Eindruck, daß der SQL-Befehl leider nichts tut.
Ich kann den "delete from objects where object_name = 'Name_des_Objektes'" ausführen so oft ich will, wenn ich z.b einen "select count(object_name) from objects;" ausführe, dann bleibt die Zahl immer gleich und bei enem select * from objects wird das Objekt auch noch angezeigt. Irgend etwas fehlt. Commit ist leider nicht die Lsg...
Danke
Grüße
Hi,
Type "quit" or "exit" to close this terminal.
cli> cert get
250|SSL_ServerCA |DE |
252|SSL_User_Baxxx |DE
253|SSL_User_Benxxx |DE
254|SSL_User_Gixxx |DE
255|SSL_User_glexxx |DE
256|SSL_User_Hesxxxxxxxxx|DE
257|SSl_User_JAxxxxxx |DE
258|SSL_User_Nxxx |DE
259|SSL_User_Rixxx |DE
260|SSL_User_Sigxxxxxx |DE
261|SSL_User_Wxxxx |DE
262|tech.mxxx |DE
263|SSL_User_SMaxxx |DE
280|SSLVPN_CA |DE
281|SS_User_OPanxxx |DE
Alle Zertifikate haben Status revoked....
Ich habe die SSL_User anonymisiert.
Mein Lösch-Befehl, 1. putty, 2. login als root, 3. sqlite3 /tmp/running.db "delete from objects where object_name = 'SS_User_OPanxxx' "
Starte ich mit sqlite3 /tmp/running.db eine SQL-Session und machen einen "select object_name from objects" wird mir das oben eigentlich mit delete gelöschte Object SS_User_OPanXXX noch als Ergebnis meiner Abfrage angezeigt.
Grüße
Georg
Type "quit" or "exit" to close this terminal.
cli> cert get
250|SSL_ServerCA |DE |
252|SSL_User_Baxxx |DE
253|SSL_User_Benxxx |DE
254|SSL_User_Gixxx |DE
255|SSL_User_glexxx |DE
256|SSL_User_Hesxxxxxxxxx|DE
257|SSl_User_JAxxxxxx |DE
258|SSL_User_Nxxx |DE
259|SSL_User_Rixxx |DE
260|SSL_User_Sigxxxxxx |DE
261|SSL_User_Wxxxx |DE
262|tech.mxxx |DE
263|SSL_User_SMaxxx |DE
280|SSLVPN_CA |DE
281|SS_User_OPanxxx |DE
Alle Zertifikate haben Status revoked....
Ich habe die SSL_User anonymisiert.
Mein Lösch-Befehl, 1. putty, 2. login als root, 3. sqlite3 /tmp/running.db "delete from objects where object_name = 'SS_User_OPanxxx' "
Starte ich mit sqlite3 /tmp/running.db eine SQL-Session und machen einen "select object_name from objects" wird mir das oben eigentlich mit delete gelöschte Object SS_User_OPanXXX noch als Ergebnis meiner Abfrage angezeigt.
Grüße
Georg
Kann ich nicht nachvollziehen:
Wenn der Name zu schwierig ist, können Sie auch über die object_id löschen. Für mein Beispiel oben wäre das dann:
Code: Alles auswählen
root@gateway:~# spcli cert get | grep atec | cut -d "|" -f 1,2
261|atec
root@gateway:~# sqlite3 /tmp/running.db "delete from objects where object_name='atec'"
root@gateway:~# spcli cert get | grep atec | cut -d "|" -f 1,2
root@gateway:~#Code: Alles auswählen
root@gateway:~# sqlite3 /tmp/running.db "delete from objects where object_id = 261"