Autosave
This commit is contained in:
parent
92703a7432
commit
410b545240
@ -83,11 +83,8 @@ From man:openvpn:
|
|||||||
--tls-cert-profile profile
|
--tls-cert-profile profile
|
||||||
OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.
|
OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
Wie groß soll der Schlüssel sein? [Welche Kurve?]
|
Wie groß soll der Schlüssel sein? [Welche Kurve?]
|
||||||
|
|
||||||
|
|
||||||
Zertifikate nur mit CN oder volles Schema?
|
Zertifikate nur mit CN oder volles Schema?
|
||||||
* Eigentlich egal, keine Vorteile oder Nachteile. Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas.
|
* Eigentlich egal, keine Vorteile oder Nachteile. Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas.
|
||||||
|
|
||||||
|
@ -211,6 +211,7 @@ Anforderungen:
|
|||||||
* Möglichst wenig personenbezogene Daten verarbeiten oder speichern
|
* Möglichst wenig personenbezogene Daten verarbeiten oder speichern
|
||||||
* Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen)
|
* Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen)
|
||||||
* Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten
|
* Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten
|
||||||
|
* Für Beschäftigte wurde kein Kriterium genannt, allerdings könnten andere Gültigkeitsdauern erwünscht sein.
|
||||||
|
|
||||||
Möglichkeiten: User+Passwort oder SSL-Zertifikate
|
Möglichkeiten: User+Passwort oder SSL-Zertifikate
|
||||||
|
|
||||||
@ -226,36 +227,38 @@ Benutzer/Passwort:
|
|||||||
* Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulaccount)
|
* Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulaccount)
|
||||||
* Einrichung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen
|
* Einrichung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen
|
||||||
* Benutzerkonten werden automatisch deaktiviert
|
* Benutzerkonten werden automatisch deaktiviert
|
||||||
* Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential
|
* Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer
|
||||||
* Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche
|
* Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche
|
||||||
|
|
||||||
Gewinner: Zertifikate
|
Gewinner: Zertifikate
|
||||||
|
Für Zertifikate wird eine Zertifizierungsstelle benötigt.
|
||||||
|
|
||||||
|
\section{Konzeption und Umsetzung einer Zertifizierungsstelle}
|
||||||
\section{Umsetzung einer Zertifizierungsstelle}
|
|
||||||
OpenSSL ist aufgrund der Abhängigkeit von OpenVPN bereits gegeben.
|
OpenSSL ist aufgrund der Abhängigkeit von OpenVPN bereits gegeben.
|
||||||
Mit OpenSSL kann man Schlüsselpaare erzeugen, Zertifikatsanträge erzeugen und Zertifikate ausstellen.
|
Mit OpenSSL kann man Schlüsselpaare erzeugen, Zertifikatsanträge erzeugen und Zertifikate ausstellen.
|
||||||
Allerdings erfordert das viel Detailwissen und die Verwaltung der ausgestellten Zertifikate ist nicht einfach.
|
Allerdings erfordert das viel Detailwissen und die Verwaltung der ausgestellten Zertifikate mit puren openssl-Befehlen ist nicht einfach.
|
||||||
Da wir Zertifikate auch unbrauchbar machen wollen, müssen Revocations ebenfalls möglich sein.
|
Da wir Zertifikate auch unbrauchbar machen wollen, muss es möglich sein Zertifikate zu widerrufen.
|
||||||
Eine CRL muss erzeugt werden können, damit diese im OpenVPN-Dienst für die Prüfung der Gültigkeit der Zertifikate verwendet werden kann.
|
Eine CRL muss erzeugt werden können, damit diese im OpenVPN-Dienst für die Prüfung der Gültigkeit der Zertifikate verwendet werden kann.
|
||||||
|
|
||||||
Jetzt kann man viel Zeit investieren, die notwendigen Skripte selbst zu schreiben.
|
Jetzt kann man viel Zeit investieren, die notwendigen Skripte selbst zu schreiben.
|
||||||
Allerdings hat OpenVPN bereits eine Abhängigkeit auf die Skriptesammlung EasyRSA, welche exakt für diesen Zweck gebaut wurde.
|
Allerdings hat OpenVPN bereits eine Abhängigkeit auf die Skriptesammlung EasyRSA, welche exakt für diesen Zweck gebaut wurde.
|
||||||
Die von Debian 9 mitgelieferte Version 2.3.x ist schon etwas älter, könnte aber verwendet werden.
|
Die von Debian 9 mitgelieferte Version 2.3.x ist schon etwas älter, könnte aber verwendet werden.
|
||||||
Allerdings gibt es auch eine modernere Neuentwicklung in Version 3.0.5, die langfristig vom OpenVPN-Team weiterentwickelt wird und einige Verbesserungen im Vergleich zur alten v2 mitbringt.
|
Allerdings gibt es auch eine modernere Neuentwicklung in Version 3.0.4(Stand 12.09.2018, siehe github.com/openvpn/easyrsa), die langfristig vom OpenVPN-Team weiterentwickelt wird und einige Verbesserungen im Vergleich zur alten v2 mitbringt.
|
||||||
|
|
||||||
Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile
|
Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile
|
||||||
Ggf. kurz ein Blick darauf, was alles für Features benötigt werden.
|
Ggf. kurz ein Blick darauf, was alles für Features benötigt werden.
|
||||||
EasyRSAv3 ist eine Neuentwicklung von EasyRSAv2.
|
EasyRSAv3 ist eine Neuentwicklung von EasyRSA2.
|
||||||
Die neue Version wird vom OpenVPN-Team weiter entwickelt werden.
|
Die neue Version wird vom OpenVPN-Team weiter entwickelt werden.
|
||||||
Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte
|
Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte
|
||||||
Viele Verbesserungen, wie z.B. Unterstützung für ECDSA (Siehe Changelog) oder UTF-8 ist jetzt standard, AES256 wird für die Verschlüsselung des CA-Keys verwendet, \dots
|
Viele Verbesserungen, wie z.B. Unterstützung für ECDSA (Siehe Changelog) oder UTF-8 ist jetzt standard, AES256 wird für die Verschlüsselung des CA-Keys verwendet, \dots
|
||||||
|
|
||||||
Da für die Anfertigung von Zertifikatsanträgen eine korrekte Konfiguration von OpenSSL benötigt wird und diverse Einstellungen vorgegeben werden sollen, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA v3.0.5 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird.
|
Da für die Anfertigung von Zertifikatsanträgen einige Details beachtet werden sollen und diverse Einstellungen durch die Zertifizierungsstelle vorgegeben bzw. vorausgesetzt werden, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA3 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird.
|
||||||
|
|
||||||
Danach: Wie funktioniert die CA mit EasyRSA?
|
Danach: Wie funktioniert die CA mit EasyRSA?
|
||||||
--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation
|
--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation
|
||||||
|
|
||||||
|
\section{Einrichtung des VPN-Servers}
|
||||||
|
|
||||||
\paragraph{Planung der Umsetzung mit dem IT-Team der Abteilung Informatik}
|
\paragraph{Planung der Umsetzung mit dem IT-Team der Abteilung Informatik}
|
||||||
* IP-Adressen und Routing geklärt
|
* IP-Adressen und Routing geklärt
|
||||||
* Konzepte und Konfiguration des IT-Teams in das Konzept integriert
|
* Konzepte und Konfiguration des IT-Teams in das Konzept integriert
|
||||||
|
Loading…
Reference in New Issue
Block a user