TLS-Zertifikate für Bareos mit Onesimus einrichten

Die Absicherung der Bareos-Director-Verbindung ist essenziell — besonders wenn Backups über Netzwerke hinweg verwaltet werden. Onesimus unterstützt sowohl TLS-PSK (Pre-Shared Key) als auch vollständige X.509-Zertifikatauthentifizierung von Haus aus.

TLS-PSK: Der schnelle Weg

Wenn bereits eine bconsole.conf mit einem PSK-Passwort vorhanden ist, kann Onesimus diese direkt verwenden. Im Verbindungsassistenten TLS-PSK auswählen und Director-Adresse, Port und das gemeinsame Passwort eingeben. Onesimus übernimmt den CRAM-MD5-Handshake und die TLS-Aushandlung automatisch.

X.509-Zertifikate: Enterprise-Sicherheit

Für Produktionsumgebungen wird zertifikatsbasierte Authentifizierung empfohlen. Benötigt werden:

• Ein CA-Zertifikat (dasselbe, dem der Director vertraut)
• Ein Client-Zertifikat, signiert von dieser CA
• Der zugehörige private Schlüssel

Onesimus enthält integrierte Skripte zur Zertifikatserstellung für Tests:

# Linux/macOS
./create-bacula-certs.sh

# Windows
.\create-bacula-certs.ps1

Dann im Verbindungsassistenten auf die Zertifikatsdateien verweisen — fertig.

Windows-PFX-Unterstützung

Unter Windows unterstützt Onesimus nativ .pfx-Dateien — kombinierte Zertifikat-und-Schlüssel-Bundles, die in Windows-Umgebungen üblich sind. Ein Aufteilen in separate PEM-Dateien ist nicht nötig.

Verbindungsprofile

Nach der Konfiguration die Verbindung als Profil speichern. Onesimus ermöglicht die Verwaltung mehrerer Director-Verbindungen und das Umschalten zwischen ihnen — ideal für Admins, die Staging- und Produktionsumgebungen verwalten.

Fehlersuche

Debug-Logging unter Einstellungen → Erweitert aktivieren, um den vollständigen TLS-Handshake zu sehen. Das Log zeigt jeden Schritt des Authentifizierungsprozesses und erleichtert die Diagnose von Zertifikatsproblemen.