diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 4985f3e..9b07fce 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -333,6 +333,8 @@ OpenSSL stellt eine Menge von Funktionen als Kommandozeilenwerkzeug zur Verfügu Im Prinzip ist es möglich, durch manuelle Bedienung von OpenSSL eine \textit{Zertifizierungsstelle} (CA) zu betreiben. Diese Vorgehensweise verlangt jedoch Fachwissen und Sorgfalt von den Betreibern der CA und eignet sich aufgrund des hohen Aufwands nur für die Verwaltung weniger Benutzer oder zu Zwecken der Lehre. + +\subsection{EasyRSA als Basis für die Zertifizierungsstelle} \label{ssct:easyrsa_intro} Mit der Installation von OpenVPN wird die Installation der Software \enquote{EasyRSA} durch den Debian-Paketmanager empfohlen, welches ebenfalls von den OpenVPN-Entwicklern geschrieben wurde. Dieses Paket enthält eine Sammlung von Shellskripten, welche die Funktionalität von OpenSSL kapseln um damit einen erleichterten Betrieb einer CA zu ermöglichen. Die enthaltenen Skripte abstrahieren allgemeine Aufgaben für den Betrieb einer CA. @@ -348,7 +350,7 @@ Die zum aktuellen Zeitpunkt (01.10.2018) über GitHub\footnote{\url{https://gith EasyRSA wurde in Version 3 von Grund auf neu geschrieben und verfügt über ein im Vergleich zu EasyRSA Version 2 vereinfachtem Benutzerinterface, welches nun von einem einzigen Kommandozeilenbefehl zur Verfügung gestellt wird. Zusätzlich hinzugekommen sind neue Features wie etwa die Unterstützung des Elliptic-Curve-Kryptosystems, Unterstützung von UTF-8 oder die Verwendung von AES256 zum Verschlüsseln von privaten Schlüsseln\footnote{Vergleich Changelog: \url{https://github.com/OpenVPN/easy-rsa/blob/v3.0.5/ChangeLog}}. - +\subsection{Festlegen der EasyRSA-Konfiguration} \label{ssct:easyrsa_config} Da für die Anfertigung von Zertifikatsanträgen einige Details beachtet werden sollen und diverse Einstellungen durch die Zertifizierungsstelle vorgegeben bzw. vorausgesetzt werden, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA3 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird. Danach: Wie funktioniert die CA mit EasyRSA? Das ist in einem separaten Dokument geklärt.