From 92703a7432824c62419209f6927b11c34c1e5e9f Mon Sep 17 00:00:00 2001
From: Jan Philipp Timme <jan.philipp@timme.it>
Date: Wed, 12 Sep 2018 11:44:59 +0200
Subject: [PATCH] Autosave

---
 Dokumentation-CA.tex | 37 ++++++++++++++++++++++++++++++++++---
 1 file changed, 34 insertions(+), 3 deletions(-)

diff --git a/Dokumentation-CA.tex b/Dokumentation-CA.tex
index 96f7571..57dba27 100644
--- a/Dokumentation-CA.tex
+++ b/Dokumentation-CA.tex
@@ -15,6 +15,29 @@ Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/R
 OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
 Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
 Das könnte einige Probleme lösen.
+\begin{lstlisting}
+# Diese Zeile ist unter Windows notwendig.
+set_var EASYRSA_OPENSSL	"C:/Program Files/OpenVPN/bin/openssl.exe"
+\end{lstlisting}
+
+\begin{lstlisting}
+# Vorgeschlagene Einstellungen, die in der vars-Datei getätigt werden sollten.
+set_var EASYRSA_DN	"org"
+
+set_var EASYRSA_REQ_COUNTRY	"DE"
+set_var EASYRSA_REQ_PROVINCE	"Niedersachsen"
+set_var EASYRSA_REQ_CITY	"Hannover"
+set_var EASYRSA_REQ_ORG	"Hochschule Hannover"
+set_var EASYRSA_REQ_EMAIL	"F4-I-IT-Team@hs-hannover.de"
+set_var EASYRSA_REQ_OU		"Abteilung Informatik"
+
+set_var EASYRSA_KEY_SIZE	4096
+set_var EASYRSA_ALGO		rsa
+
+set_var EASYRSA_CA_EXPIRE	3650
+set_var EASYRSA_CERT_EXPIRE	180
+set_var EASYRSA_CRL_DAYS	180
+\end{lstlisting}
 
 Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
 In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
@@ -95,20 +118,28 @@ Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden s
 
 # CA-Zertifikat erzeugen, Passwort für privaten Schlüssel wird verlangt
 ./easyrsa build-ca
+\end{lstlisting}
 
-# Regelbetrieb der CA
-# Benutzer erzeugt Request
-# z.B. mit openssl req -utf8 -new -newkey rsa:4096 -keyout /tmp/cert.key -out /tmp/cert.req -subj "/CN=foobar" [-nodes] ?
+\section{Regelbetrieb der CA}
 
+\begin{lstlisting}
 # Request importieren (erfordert einen eindeutigen Namen - hier "timmeja")
 ./easyrsa import-req /tmp/EasyRSA-3.0.4/pki/reqs/jpt-client.req timmeja
 
+# Achtung! Falls bereits ein gültiges Zertifikat existiert, ist es notwendig dieses vorher zurückzurufen.
+# Sonst kann kein neues Zertifikat mit gleicher CN ausgestellt werden.
+# (optional)
+./easyrsa revoke timmeja
+
 # Request signieren mit Client-Rolle (erfordert Passwort für privaten Schlüssel der CA)
 ./easyrsa sign-req client timmeja
 
 # Zertifikat inspizieren und an Antragsteller übergeben
 openssl x509 -in pki/issued/timmeja.crt -noout -text
 
+# (optional?)
+./easyrsa update-db
+
 # CRL erzeugen und an OpenVPN-Server übergeben
 ./easyrsa gen-crl
 \end{lstlisting}