Autosave
This commit is contained in:
parent
3d8887e59b
commit
92703a7432
|
|
@ -15,6 +15,29 @@ Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/R
|
|||
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
|
||||
Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
|
||||
Das könnte einige Probleme lösen.
|
||||
\begin{lstlisting}
|
||||
# Diese Zeile ist unter Windows notwendig.
|
||||
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
|
||||
\end{lstlisting}
|
||||
|
||||
\begin{lstlisting}
|
||||
# Vorgeschlagene Einstellungen, die in der vars-Datei getätigt werden sollten.
|
||||
set_var EASYRSA_DN "org"
|
||||
|
||||
set_var EASYRSA_REQ_COUNTRY "DE"
|
||||
set_var EASYRSA_REQ_PROVINCE "Niedersachsen"
|
||||
set_var EASYRSA_REQ_CITY "Hannover"
|
||||
set_var EASYRSA_REQ_ORG "Hochschule Hannover"
|
||||
set_var EASYRSA_REQ_EMAIL "F4-I-IT-Team@hs-hannover.de"
|
||||
set_var EASYRSA_REQ_OU "Abteilung Informatik"
|
||||
|
||||
set_var EASYRSA_KEY_SIZE 4096
|
||||
set_var EASYRSA_ALGO rsa
|
||||
|
||||
set_var EASYRSA_CA_EXPIRE 3650
|
||||
set_var EASYRSA_CERT_EXPIRE 180
|
||||
set_var EASYRSA_CRL_DAYS 180
|
||||
\end{lstlisting}
|
||||
|
||||
Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
|
||||
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
|
||||
|
|
@ -95,20 +118,28 @@ Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden s
|
|||
|
||||
# CA-Zertifikat erzeugen, Passwort für privaten Schlüssel wird verlangt
|
||||
./easyrsa build-ca
|
||||
\end{lstlisting}
|
||||
|
||||
# Regelbetrieb der CA
|
||||
# Benutzer erzeugt Request
|
||||
# z.B. mit openssl req -utf8 -new -newkey rsa:4096 -keyout /tmp/cert.key -out /tmp/cert.req -subj "/CN=foobar" [-nodes] ?
|
||||
\section{Regelbetrieb der CA}
|
||||
|
||||
\begin{lstlisting}
|
||||
# Request importieren (erfordert einen eindeutigen Namen - hier "timmeja")
|
||||
./easyrsa import-req /tmp/EasyRSA-3.0.4/pki/reqs/jpt-client.req timmeja
|
||||
|
||||
# Achtung! Falls bereits ein gültiges Zertifikat existiert, ist es notwendig dieses vorher zurückzurufen.
|
||||
# Sonst kann kein neues Zertifikat mit gleicher CN ausgestellt werden.
|
||||
# (optional)
|
||||
./easyrsa revoke timmeja
|
||||
|
||||
# Request signieren mit Client-Rolle (erfordert Passwort für privaten Schlüssel der CA)
|
||||
./easyrsa sign-req client timmeja
|
||||
|
||||
# Zertifikat inspizieren und an Antragsteller übergeben
|
||||
openssl x509 -in pki/issued/timmeja.crt -noout -text
|
||||
|
||||
# (optional?)
|
||||
./easyrsa update-db
|
||||
|
||||
# CRL erzeugen und an OpenVPN-Server übergeben
|
||||
./easyrsa gen-crl
|
||||
\end{lstlisting}
|
||||
|
|
|
|||
Loading…
Reference in New Issue