Um Mosquitto über SSL/TLS abzusichern legt man unter /etc/mosquitto/conf.d eine Datei SSL mit folgendem Inhalt an:

Listener 8883
certfile /etc/mosquitto/certs/server.crt
cafile /etc/mosquitto/ca_certificates/ca.crt
keyfile /etc/mosquitto/certs/server.key

Die entsprechenden Zertifikate müssen natürlich generiert sein (da gibt es unzählige Anleitungen) und an die entsprechende Stelle kopiert werden.

Der eigentlich Kniff war bei mir unter Debian Bookworm nun, dass die Datei- und Verzeichnisrechte nicht gepasst haben. Es kam immer zu folgenden Fehlern:

1695361882: Error: Unable to load CA certificates. Check cafile "/etc/mosquitto/ca_certificates/ca.crt".
1695361882: OpenSSL Error[0]: error:8000000D:system library::Permission denied
1695361882: OpenSSL Error[1]: error:10080002:BIO routines::system lib
1695361882: OpenSSL Error[2]: error:05880002:x509 certificate routines::system lib

Abhilfe schafft dann nur folgende Befehle auszuführen und den Mosquitto Dienst neu zu starten:

chmod 0700 /etc/mosquitto/certs
chmod 0700 /etc/mosquitto/certs/*
chmod 0700 /etc/mosquitto/ca_certificates
chmod 0700 /etc/mosquitto/ca_certificates/*

Manche Geräte können mit diesen unterschiedlichen Dateien nicht umgehen, weil z.B. kein richtiges Dateisystem vorhanden ist. Apple iPhone/iPad Apps wären z.B. so ein Fall.

Will man dort SSL-VPN (openVPN) verwenden, so muss die CA, Cert und Key direkt in der openVPN Konfigurationsdatei vorhanden sein.
Für diesen Fall habe ich ein kleines Script geschrieben. (Etwas abgewandelt welches ich im Securepoint Forum gefunden habe.

Dies Script geht davon aus, dass die Konfigurationsdaten entpackt in einem Verzeichnis liegen. Zu finden sind die Dateien in der Regel im „Data“ Verzeichnis wenn man das ZIP entpackt oder das TBLK-Verzeichnis umbenannt hat.

Hier nun aber erst mal das Script. Als ersten Parameter wird der Dateiname des openVPN-Files erwartet. Zweiter Parameter wie die neue Konfigurationsdatei benannt werden soll. Der dritte und letzte Parameter gibt an, ob die Originaldateien gelöscht oder behalten werden sollen.

Hier nun aber erst mal das Script:

#!/bin/sh
# Autor: Knut Herter
#
if [ -z "$1" ] || [ -z "$2" ] || [ -z "$3" ] ; then
		echo "\nKeine Parameter angegeben!"
		echo ""
 		echo "Parameter 1: <Dateiname>(ohne .ovpn)"
 		echo "Parameter 2: <Neuer Dateiname>(ohne .ovpn)"
 		echo "Parameter 3: <0 oder 1> 1 = Origignaldateien löschen"
		echo "\n"
 		exit 1
fi

for dat in ".ovpn" "-ca.pem" "-cert.pem" "-cert.key"; do
	if [ ! -f "$1$dat" ]; then
	    echo "$1$dat nicht vorhanden"
	    fehler=1
	fi
done

if [ $fehler ]; then echo "\nFehler, breche die Verarbeitung ab." 
 exit 1  
fi

grep -F -v -e "ca" -e "cert" -e "key" "$1".ovpn > $2.ovpn
{
echo '<ca>'
cat "$1"-ca.pem 
echo '</ca>'
echo '<cert>'
cat "$1"-cert.pem 
echo '</cert>'
echo '<key>'
cat "$1"-cert.key 
echo '</key>'
} >> $2.ovpn

if [ "$3" = "1" ]; then
for dat in ".ovpn" "-ca.pem" "-cert.pem" "-cert.key"; do
	rm -f $1$dat
done
fi

Anschließend kann man die erzeuge .ovpn-Datei z.B. auf seinem iPhone/iPad nutzen um sich mit dem SSL-VPN Server zu verbinden. 

Auch in Tunnelblick oder dem originalen Securepoint VPN Client kann diese Datei verwendet werden.

The Private Key – domain_name.key
The Primary Certificate – domain_name.crt
The Intermediate Certificate – intermediate.crt
The Root Certificate – root.crt

In diesem Aufbau die einzelnen Inhalte in eine Datei (meine-domain.pem) speichern und verwenden.

Die momentan beliebte CA „Let’s Encrypt“ stellt gerade fleissig neue Zertifikate aus: https://crt.sh/?Identity=%25&iCAID=7395

openssl rsa -in ssl.key.orig -out ssl.key.neu