Improve CA documentation
This commit is contained in:
parent
0efad87cdf
commit
735c7b1b11
@ -202,34 +202,37 @@ Die in diesem Schritt erzeugte \texttt{*.csr}-Datei muss nun an die CA übergebe
|
||||
\chapter{Ausstellen von Zertifikaten}
|
||||
Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf dessen Basis nun ein gültiges Zertifikat durch die CA erzeugt werden.
|
||||
Hierfür muss der Zertifikatsantrag zunächst aus der vom Benutzer eingereichten Datei importiert werden, und unter einem geeigneten Namen abgelegt werden.
|
||||
|
||||
Dafür wird der Befehl \texttt{import-req} verwendet:
|
||||
\begin{lstlisting}
|
||||
./easyrsa import-req /tmp/example.req entityName
|
||||
\end{lstlisting}
|
||||
Abhängig von dem Typ des beantragten Zertifikats muss der Platzhalter \texttt{entityName} gewählt werden.
|
||||
Der \texttt{entityName} wird auch verwendet um ausgestellte Zertifikate zu widerrufen.
|
||||
Der \texttt{entityName} wird auch zum Widerrufen bereits ausgestellter Zertifikate verwendet.
|
||||
|
||||
Für die Beantragung eines Clientzertifikats muss der Platzhalter \texttt{entityName} durch den hochschulweiten Benutzernamen des Benutzers ersetzt werden, für den das Zertifikat beantragt werden soll.
|
||||
Für die Beantragung eines Serverzertifikats muss der Platzhalter \texttt{entityName} durch den vollqualifizierten Domainnamen des Servers (zum Beispiel \texttt{aither.inform.hs-hannover.de}) ersetzt werden, für den das Zertifikat beantragt werden soll.
|
||||
Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch den Benutzernamen des Benutzers ersetzt werden, der das Zertifikat beantragt.
|
||||
|
||||
Hinweis: Falls bereits ein gültiges Zertifikat mit dem selben \texttt{CN} existiert, ist es notwendig dieses vorher zurückzurufen, da sonst kein neues Zertifikat ausgestellt werden kann.
|
||||
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
|
||||
Für die Beantragung eines \textbf{Serverzertifikats} muss der Platzhalter \texttt{entityName} durch den vollqualifizierten Domainnamen des Servers ersetzt werden, für den das Zertifikat beantragt wird.
|
||||
Dieser kann zum Beispiel \texttt{aither.inform.hs-hannover.de} lauten.
|
||||
|
||||
\textbf{Hinweis}: Falls bereits ein noch gültiges Zertifikat mit dem selben \texttt{CN} existiert, muss dieses vorher widerrufen werden.
|
||||
\begin{lstlisting}
|
||||
./easyrsa revoke entityName
|
||||
\end{lstlisting}
|
||||
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
|
||||
|
||||
Nun kann der importierte Zertifikatsantrag als Client- oder Serverzertifikat signiert werden.
|
||||
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
|
||||
\begin{lstlisting}
|
||||
# Request signieren mit Client-Rolle
|
||||
# Clientzertifikat ausstellen
|
||||
./easyrsa sign-req client username
|
||||
|
||||
# Request signieren mit Server-Rolle
|
||||
# Serverzertifikat ausstellen
|
||||
./easyrsa sign-req server aither.inform.hs-hannover.de
|
||||
\end{lstlisting}
|
||||
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
|
||||
|
||||
Hinweis: Die Gültigkeitsdauer kann in nach Ermessen der CA-Betreiber in begründeten Einzelfällen (z.B. für Serverzertifikate) höher gesetzt werden.
|
||||
Eine maximale Laufzeit von 730 Tagen (etwa 2 Jahren) wird empfohlen.
|
||||
\textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen über den vorgegebenen Standardwert hinaus gewählt werden.
|
||||
Insbesondere bei der Ausstellung von Serverzertifikaten ist dieser Schritt sinnvoll.
|
||||
Bei der Wahl einer erhöhten Gültigkeitsdauer wird eine maximale Laufzeit von 730 Tagen (etwa 2 Jahren) wird empfohlen.
|
||||
In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt.
|
||||
\begin{lstlisting}
|
||||
EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de
|
||||
|
Loading…
Reference in New Issue
Block a user