diff --git a/CA-DOC-Inhalt.tex b/CA-DOC-Inhalt.tex index 5ffc9c1..68a9d10 100644 --- a/CA-DOC-Inhalt.tex +++ b/CA-DOC-Inhalt.tex @@ -137,16 +137,27 @@ Um ein Zertifikat von der CA zu beantragen, wird das bereits vorkonfigurierte Ea Dieses kann nun an einem beliebigen Ort entpackt werden. Eine lauffähige Installation von OpenSSL, welches auch als Abhängigkeit von OpenVPN benötigt wird, wird ebenfalls vorausgesetzt. -Hinweis für Windows-Benutzer: Gegebenenfalls muss der Pfad zu OpenSSL in der \texttt{vars}-Datei von EasyRSA hinterlegt werden. +\paragraph{Hinweis für Windows-Benutzer} +Gegebenenfalls muss der Pfad zu OpenSSL in der \texttt{vars}-Datei von EasyRSA hinterlegt werden. Unter Windows kann auf das durch OpenVPN installierte OpenSSL zurückgegriffen werden\footnote{Mehr dazu unter \url{https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt}}. Die folgenden Zeile zeigt beispielhaft die Verwendung des durch OpenVPN installierten OpenSSL-Programms: \begin{lstlisting} set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe" \end{lstlisting} -Anschließend wechselt man in das +Anschließend öffnet man ein Terminal und kann den Befehl \texttt{./easyrsa} verwenden, um einen Zertifikatsantrag zu erzeugen: +\begin{lstlisting} +./easyrsa gen-crl entityName nopass +\end{lstlisting} +Für die Beantragung eines Clientzertifikats muss der Platzhalter \texttt{entityName} durch den hochschulweiten Benutzernamen des Benutzers ersetzt werden, für den das Zertifikat beantragt werden soll. +Für die Beantragung eines Serverzertifikats muss der Platzhalter \texttt{entityName} durch den vollqualifizierten Domainnamen des Servers (zum Beispiel \texttt{aither.inform.hs-hannover.de}) ersetzt werden, für den das Zertifikat beantragt werden soll. +Durch das Anhängen des Arguments \texttt{nopass} den Passwortschutz für den privaten Schlüssel zu deaktivieren. +\begin{lstlisting} + +\end{lstlisting} + \chapter{Ausstellen von Zertifikaten} Ein Benutzer kommt mit einem Antrag bei der CA an. Welche Schritte werden durchlaufen, damit ein gültiges Client/Server-Zertifikat ausgestellt wird?