OpenVPN in iOS: private Key in der Keychain

Der private Key einer VPN-Verbindung ist „sensibel“ und sollte daher sicher in der iOS-Keychain gespeichert werden.

Ich habe das so gemacht (Infos u.a. von hier):

  • p12-Datei aus herstellen (am besten gleich im owncloud-Verzeichnis machen, dann liegt’s schon da):
    openssl pkcs12 -export -in handyvpn.steinkopf.net.crt -inkey handyvpn.steinkopf.net.key -certfile ca.crt -name handyvpn.steinkopf.net -out handyvpn.steinkopf.net.p12
    
  • OpenVPN-Config-Datei vorbereiten:
    • Basis-Config „ganz normal“.
    • Datei sollte .ovpn heißen.
    • Darf KEINE key und cert-Anweisungen enthalten (weder mit noch ohne Key im File).
    • Inhalt von ca.crt in die Config-Datei einfügen:
      <ca>
      -----BEGIN CERTIFICATE-----
      ...
      -----END CERTIFICATE-----
      </ca>
      
  • p12-Datei installieren:
    • In ownCloud ablegen (falls nicht eh schon dort erstellt) und
    • mit dem mit Handy-WebClient (im iOS-Safari! Mit der App klappt’s nicht) ansurfen und anklicken.
    • Dadurch wird sie in den iOS-Keystore importiert (als „Profile“). Der iOS-Sperrcode muss dazu eingegeben werden.
  • ovpn-Datei installieren:
    • In ownCloud ablegen und
    • wieder mit dem mit Handy-WebClient (im iOS-Safari! Mit der App klappt’s nicht) ansurfen und anklicken.
    • „In OpevnVPN öffnen“
    • In der OpenVPN-App mit dem grünen „+“-Symbol (bzw. mit dem orangen Rechtspfeil, wenn es ein update einer bestehenden Datei ist) importieren. Heißt dort dann „external certificate profile“.
    • Key auswählen: Auf „none selected“ klicken und das importierte iOS-Profil/Certifacte klicken. Wird dann mit Namen angezeigt.
  • Fertig 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert