Autosave

MA-Inhalt.tex

@@ -443,7 +443,6 @@ Das EasyRSA-Paket wird unterhalb von \texttt{/root} ausgepackt und für den Eins
 
 \paragraph{Berechtigungen}
 Durch die Platzierung der CA unterhalb von \texttt{/root} kann nur der Benutzer \texttt{root} die Zertifizierungsstelle benutzen und auf den privaten Schlüssel des Wurzelzertifikats zugreifen.
-Die Zugriffskontrolle lässt sich somit einfach gestalten:
 Lokale Benutzer können über \texttt{sudo} für die Benutzung der CA berechtigt werden.
 Zusätzlich können direkte Zugriffsrechte durch die Verwendung von SSH-Schlüsseln für den \texttt{root}-Login verteilt werden.
 
@@ -451,14 +450,20 @@ Gleichzeitig beinhaltet der \texttt{root}-Benutzer eine Warnfunktion: Die Berech
 Auch die regelmäßige Kontrolle aller erteilten Berechtigungen und die überlegte Erteilung von Berechtigungen soll zusätzlich motiviert werden.
 
 \paragraph{Öffentliche Daten}
-Damit die CA durch VPN-Benutzer korrekt verwendet werden kann, müssen einzelne Dateien für die Benutzer einfach abgerufen werden können.
+Damit die CA durch VPN-Benutzer verwendet werden kann, müssen bestimmte Dateien für VPN-Benutzer verfügbar gemacht werden.
-Neben dem CA-Wurzelzertifikat und der jeweils aktuellen Version der CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen.
+Neben dem Wurzelzertifikat der CA und der aktuellen CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen.
-Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine mit \texttt{apache2} ein einfacher Webserver installiert, welcher mit einer minimalen Konfiguration ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefert.
+Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine der Webserver \texttt{apache2} installiert, welcher ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefern soll.
 
-Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}. Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}.
+Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}.
-Dadurch werden einfache Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert.
+Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}.
+Dadurch werden Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert.
 Gleichzeitig signalisieren die Dateirechte, dass die Inhalte unter \texttt{/public} nur durch \texttt{root} verändert werden dürfen und für alle anderen lediglich lesbar zur Verfügung stehen sollen.
 
+Die Veröffentlichung von Konfigurationsdateien und Anleitungen für VPN-Benutzer kann über diesen Webserver ebenfalls stattfinden.
+
+\paragraph{Aktualisierung der CRL}
+Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronjob via \texttt{crontab -e} unter dem Benutzer \texttt{root} eingerichtet, der über die EasyRSA-Skripte eine neue CRL erzeugt und diese anschließend mit den zuvor erläuterten Dateirechten in \texttt{/public} platziert.
+
 
 \chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server}
 Nachdem das Konzept für die Benutzerverwaltung für den VPN-Dienst fertiggestellt ist und die zu verwendende VPN-Software gewählt wurde, kann nun mit der Einrichtung des VPN-Servers begonnen werden.