Improve CA documentation
This commit is contained in:
parent
13efbf62d1
commit
6cf60a9c16
|
@ -111,7 +111,7 @@ Im Anschluss kann das Wurzelzertifikat der CA erzeugt werden.
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
||||||
\textbf{Hinweis}: Besteht der begründete Wunsch, den privaten Schlüssel der CA \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{build-ca} angehängt werden.
|
\textbf{Hinweis}: Besteht der begründete Wunsch, den privaten Schlüssel der CA \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{build-ca} angehängt werden.
|
||||||
Dies kann nützlich sein, um die regelmäßige Ausstellung einer CRL zu automatisieren.
|
Dies kann nützlich sein um die regelmäßige Ausstellung einer CRL zu automatisieren.
|
||||||
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser beliebige Zertifikate durch die CA ausstellen.
|
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser beliebige Zertifikate durch die CA ausstellen.
|
||||||
Ein Passwortschutz wird ausdrücklich empfohlen, sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels der CA vor unbefugtem Zugriff getroffen werden!
|
Ein Passwortschutz wird ausdrücklich empfohlen, sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels der CA vor unbefugtem Zugriff getroffen werden!
|
||||||
|
|
||||||
|
@ -164,27 +164,37 @@ Anschließend kann das angefertigte \texttt{*.zip}-Archiv den Benutzern zur Verf
|
||||||
|
|
||||||
\chapter{Beantragen von Zertifikaten}
|
\chapter{Beantragen von Zertifikaten}
|
||||||
Um ein Zertifikat von der CA zu beantragen, wird das bereits vorkonfigurierte EasyRSA-Paket benötigt, welches durch das IT-Team der Abteilung Informatik bereitgestellt wird.
|
Um ein Zertifikat von der CA zu beantragen, wird das bereits vorkonfigurierte EasyRSA-Paket benötigt, welches durch das IT-Team der Abteilung Informatik bereitgestellt wird.
|
||||||
Dieses kann nun an einem beliebigen Ort entpackt werden.
|
Dieses kann nun in einem lokalen Ordner entpackt werden.
|
||||||
Eine lauffähige Installation von OpenSSL, welches auch als Abhängigkeit von OpenVPN benötigt wird, wird ebenfalls vorausgesetzt.
|
Eine lauffähige Installation von OpenSSL, welches auch als Abhängigkeit von OpenVPN benötigt wird, wird ebenfalls vorausgesetzt.
|
||||||
|
|
||||||
\paragraph{Hinweis für Windows-Benutzer}
|
\textbf{Hinweis für Windows-Benutzer}: Gegebenenfalls muss der Pfad zu OpenSSL in der Datei \texttt{vars} von EasyRSA hinterlegt werden.
|
||||||
Gegebenenfalls muss der Pfad zu OpenSSL in der Datei \texttt{vars} von EasyRSA hinterlegt werden.
|
|
||||||
Unter Windows kann auf das durch OpenVPN installierte OpenSSL zurückgegriffen werden\footnote{Mehr dazu unter \url{https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt}}.
|
Unter Windows kann auf das durch OpenVPN installierte OpenSSL zurückgegriffen werden\footnote{Mehr dazu unter \url{https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt}}.
|
||||||
Die folgenden Zeile zeigt beispielhaft die Verwendung des durch OpenVPN installierten OpenSSL-Programms:
|
Die folgenden Zeile zeigt beispielhaft die Verwendung des durch OpenVPN installierten OpenSSL-Programms:
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
|
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
||||||
Anschließend öffnet man ein Terminal und kann den Befehl \texttt{./easyrsa} verwenden, um einen Zertifikatsantrag zu erzeugen.
|
Nun öffnet man ein Terminal, wechselt in das eben entpackte Verzeichnis von EasyRSA und kann den Befehl \texttt{./easyrsa} verwenden, um einen Zertifikatsantrag zu erzeugen.
|
||||||
Unter Windows kann eine passende Konsole über die Datei \texttt{EasyRSA-Start.bat} aufgerufen werden.
|
Unter Windows kann eine passende Konsole über die Datei \texttt{EasyRSA-Start.bat} aufgerufen werden.
|
||||||
\begin{lstlisting}
|
|
||||||
./easyrsa gen-crl entityName nopass
|
|
||||||
\end{lstlisting}
|
|
||||||
Für die Beantragung eines Clientzertifikats muss der Platzhalter \texttt{entityName} durch den hochschulweiten Benutzernamen des Benutzers ersetzt werden, für den das Zertifikat beantragt werden soll.
|
|
||||||
Für die Beantragung eines Serverzertifikats muss der Platzhalter \texttt{entityName} durch den vollqualifizierten Domainnamen des Servers (zum Beispiel \texttt{aither.inform.hs-hannover.de}) ersetzt werden, für den das Zertifikat beantragt werden soll.
|
|
||||||
Durch das Anhängen des Arguments \texttt{nopass} den Passwortschutz für den privaten Schlüssel zu deaktivieren.
|
|
||||||
|
|
||||||
Die erzeugte \texttt{*.csr}-Datei muss dann an die CA übergeben werden, um ein gültiges Zertifikat zu erhalten.
|
Im nächsten Schritt wird ein neuer Zertifikatsantrag inklusive neuem Schlüsselpaar erzeugt.
|
||||||
|
\begin{lstlisting}
|
||||||
|
# ./easyrsa gen-req entityName nopass
|
||||||
|
./easyrsa gen-req entityName
|
||||||
|
\end{lstlisting}
|
||||||
|
|
||||||
|
Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch den hochschulweit gültigen Benutzernamen des Benutzers ersetzt werden.
|
||||||
|
|
||||||
|
Für die Beantragung eines \textbf{Serverzertifikats} muss der Platzhalter \texttt{entityName} durch dessen vollqualifizierten Domainnamen des Servers ersetzt werden.
|
||||||
|
Dieser kann beispielsweise \texttt{aither.inform.hs-hannover.de} lauten.
|
||||||
|
|
||||||
|
\textbf{Hinweis}: Besteht der begründete Wunsch, den erzeugten, privaten Schlüssel \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{gen-req} angehängt werden.
|
||||||
|
Dies kann nützlich sein um den privaten Schlüssel ohne zusätzliche Passworteingabe zu benutzen - zum Beispiel zum Betrieb eines OpenVPN-Servers oder zum automatischen Verbindungsaufbau mit einem OpenVPN-Client.
|
||||||
|
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen.
|
||||||
|
Ein Passwortschutz wird ausdrücklich empfohlen, sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels vor unbefugtem Zugriff getroffen werden!
|
||||||
|
|
||||||
|
Die in diesem Schritt erzeugte \texttt{*.csr}-Datei muss nun an die CA übergeben werden, um ein gültiges Zertifikat ausgestellt zu bekommen.
|
||||||
|
|
||||||
|
|
||||||
\chapter{Ausstellen von Zertifikaten}
|
\chapter{Ausstellen von Zertifikaten}
|
||||||
Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf dessen Basis nun ein gültiges Zertifikat durch die CA erzeugt werden.
|
Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf dessen Basis nun ein gültiges Zertifikat durch die CA erzeugt werden.
|
||||||
|
|
Loading…
Reference in New Issue