This commit is contained in:
Jan Philipp Timme 2018-11-02 15:15:38 +01:00
parent 279903f65b
commit a1dab6d69f
1 changed files with 9 additions and 7 deletions

View File

@ -579,27 +579,29 @@ Die Installation von EasyRSA wird durch das Kopieren sämtlicher Dateien von ~Ea
Eine auf diese Weise eingerichtete CA kann aus diesem Grund nicht durch den Debian-Paketmanager mit Updates versorgt werden. Eine auf diese Weise eingerichtete CA kann aus diesem Grund nicht durch den Debian-Paketmanager mit Updates versorgt werden.
Aufgrund des Installationsprozess und den in EasyRSA Version~3.0.5 enthaltenen Vorteilen wird entschieden, dass EasyRSA Version~3.0.5 zum Aufbau der CA für den VPN-Dienst eingesetzt wird. Aufgrund des Installationsprozess und den in EasyRSA Version~3.0.5 enthaltenen Vorteilen wird entschieden, dass EasyRSA Version~3.0.5 zum Aufbau der CA für den VPN-Dienst eingesetzt wird.
Um die öffentlichen Daten der CA über HTTP zur Verfügung zu stellen, kommt der Apache httpd als Webserver zum Einsatz, weil dieser unter Debian~9 über das Paket \texttt{apache2} leicht installiert werden kann.
\chapter{Planung der Installation} \label{cpt:openvpn_concept} \chapter{Planung der Installation} \label{cpt:openvpn_concept}
\begin{draft} Nach Abschluss der Konzeptphase kann die Installation des VPN-Dienstes und der dazugehörigen PKI konkret geplant werden.
Abbildung~\ref{fig:openvpn_full_deployment} zeigt eine Gesamtübersicht über die geplante Installation des VPN-Diensts und der dazugehörigen CA. Abbildung~\ref{fig:openvpn_full_deployment} zeigt eine Gesamtübersicht über die geplante Installation des VPN-Diensts und der dazugehörigen CA.
Im Vergleich mit Abbildung~\ref{fig:vpn_service_concept} aus Kapitel~\ref{sct:whole_abstract_concept} steht jetzt konkret fest, dass die Client- und Serverkomponente für das VPN durch OpenVPN realisiert werden.
\begin{figure}[h] \begin{figure}[h]
\centering \centering
\frame{\includegraphics[width=\textwidth]{img/OpenVPN-Deployment.png}} \frame{\includegraphics[width=\textwidth]{img/OpenVPN-Deployment.png}}
\caption{Gesamtübersicht der geplanten VPN-Dienst-Installation} \caption{Gesamtübersicht der geplanten VPN-Dienst-Installation}
\label{fig:openvpn_full_deployment} \label{fig:openvpn_full_deployment}
\end{figure} \end{figure}
Die PKI wird mit Hilfe der Software EasyRSA eingerichtet werden.
In der Abbildung werden die logischen Netzwerk-Sicherheitszonen aus Kapitel~\ref{cpt:netarchitecture} gezeigt, die über die Firewall der Abteilung Informatik voneinander getrennt sind. Für die Bereitstellung der öffentlichen Daten der PKI wird ein Apache httpd als Webserver verwendet.
Damit die CRL der PKI aktualisiert wird, wird ein Cronjob auf dem CA-Server eingerichtet, der diese Aufgabe übernimmt und die aktuelle CRL anschließend über den Webserver veröffentlicht.
Auf dem VPN-Server kommt ein weiterer Cronjob zum Einsatz, um die aktuelle CRL vom Webserver auf dem CA-Server zu beschaffen und in die Konfiguration des OpenVPN-Servers zu integrieren.
\begin{draft}
Anschließend wird die geplante OpenVPN-Konfiguration grob skizziert, bevor sie in dem folgenden Kapitel konkret erklärt wird. Anschließend wird die geplante OpenVPN-Konfiguration grob skizziert, bevor sie in dem folgenden Kapitel konkret erklärt wird.
Es sollen Routen in Netze gepusht werden; es sollen Routen aus dem alten VPN-Dienst übernommen werden für die Aufwärtskompatibilität; IPV6-Netze sollen dann hinzugefügt werden. Es sollen Routen in Netze gepusht werden; es sollen Routen aus dem alten VPN-Dienst übernommen werden für die Aufwärtskompatibilität; IPV6-Netze sollen dann hinzugefügt werden.
\end{draft} \end{draft}