Autosave
This commit is contained in:
parent
3d8887e59b
commit
92703a7432
|
|
@ -15,6 +15,29 @@ Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/R
|
||||||
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
|
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
|
||||||
Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
|
Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
|
||||||
Das könnte einige Probleme lösen.
|
Das könnte einige Probleme lösen.
|
||||||
|
\begin{lstlisting}
|
||||||
|
# Diese Zeile ist unter Windows notwendig.
|
||||||
|
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
|
||||||
|
\end{lstlisting}
|
||||||
|
|
||||||
|
\begin{lstlisting}
|
||||||
|
# Vorgeschlagene Einstellungen, die in der vars-Datei getätigt werden sollten.
|
||||||
|
set_var EASYRSA_DN "org"
|
||||||
|
|
||||||
|
set_var EASYRSA_REQ_COUNTRY "DE"
|
||||||
|
set_var EASYRSA_REQ_PROVINCE "Niedersachsen"
|
||||||
|
set_var EASYRSA_REQ_CITY "Hannover"
|
||||||
|
set_var EASYRSA_REQ_ORG "Hochschule Hannover"
|
||||||
|
set_var EASYRSA_REQ_EMAIL "F4-I-IT-Team@hs-hannover.de"
|
||||||
|
set_var EASYRSA_REQ_OU "Abteilung Informatik"
|
||||||
|
|
||||||
|
set_var EASYRSA_KEY_SIZE 4096
|
||||||
|
set_var EASYRSA_ALGO rsa
|
||||||
|
|
||||||
|
set_var EASYRSA_CA_EXPIRE 3650
|
||||||
|
set_var EASYRSA_CERT_EXPIRE 180
|
||||||
|
set_var EASYRSA_CRL_DAYS 180
|
||||||
|
\end{lstlisting}
|
||||||
|
|
||||||
Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
|
Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
|
||||||
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
|
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
|
||||||
|
|
@ -95,20 +118,28 @@ Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden s
|
||||||
|
|
||||||
# CA-Zertifikat erzeugen, Passwort für privaten Schlüssel wird verlangt
|
# CA-Zertifikat erzeugen, Passwort für privaten Schlüssel wird verlangt
|
||||||
./easyrsa build-ca
|
./easyrsa build-ca
|
||||||
|
\end{lstlisting}
|
||||||
|
|
||||||
# Regelbetrieb der CA
|
\section{Regelbetrieb der CA}
|
||||||
# Benutzer erzeugt Request
|
|
||||||
# z.B. mit openssl req -utf8 -new -newkey rsa:4096 -keyout /tmp/cert.key -out /tmp/cert.req -subj "/CN=foobar" [-nodes] ?
|
|
||||||
|
|
||||||
|
\begin{lstlisting}
|
||||||
# Request importieren (erfordert einen eindeutigen Namen - hier "timmeja")
|
# Request importieren (erfordert einen eindeutigen Namen - hier "timmeja")
|
||||||
./easyrsa import-req /tmp/EasyRSA-3.0.4/pki/reqs/jpt-client.req timmeja
|
./easyrsa import-req /tmp/EasyRSA-3.0.4/pki/reqs/jpt-client.req timmeja
|
||||||
|
|
||||||
|
# Achtung! Falls bereits ein gültiges Zertifikat existiert, ist es notwendig dieses vorher zurückzurufen.
|
||||||
|
# Sonst kann kein neues Zertifikat mit gleicher CN ausgestellt werden.
|
||||||
|
# (optional)
|
||||||
|
./easyrsa revoke timmeja
|
||||||
|
|
||||||
# Request signieren mit Client-Rolle (erfordert Passwort für privaten Schlüssel der CA)
|
# Request signieren mit Client-Rolle (erfordert Passwort für privaten Schlüssel der CA)
|
||||||
./easyrsa sign-req client timmeja
|
./easyrsa sign-req client timmeja
|
||||||
|
|
||||||
# Zertifikat inspizieren und an Antragsteller übergeben
|
# Zertifikat inspizieren und an Antragsteller übergeben
|
||||||
openssl x509 -in pki/issued/timmeja.crt -noout -text
|
openssl x509 -in pki/issued/timmeja.crt -noout -text
|
||||||
|
|
||||||
|
# (optional?)
|
||||||
|
./easyrsa update-db
|
||||||
|
|
||||||
# CRL erzeugen und an OpenVPN-Server übergeben
|
# CRL erzeugen und an OpenVPN-Server übergeben
|
||||||
./easyrsa gen-crl
|
./easyrsa gen-crl
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue