From a951fcf6d942db086be91b7841b84f63358b2b98 Mon Sep 17 00:00:00 2001
From: Jan Philipp Timme <jan.philipp@timme.it>
Date: Mon, 8 Oct 2018 16:36:12 +0200
Subject: [PATCH] Add more text, finish CA concept

---
 MA-Inhalt.tex | 12 ++++++++----
 1 file changed, 8 insertions(+), 4 deletions(-)

diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex
index 0c2a3fe..85dfc2d 100644
--- a/MA-Inhalt.tex
+++ b/MA-Inhalt.tex
@@ -415,12 +415,16 @@ Für alle weiteren Felder werden folgende Vorgaben festgelegt:
 \texttt{OU}: \enquote{Abteilung Informatik}.
 
 \paragraph{Gültigkeitsdauer der CRL}
-Die \textit{Certificate Revocation List} (CRL) enthält Informationen über alle von der CA zurückgerufenen Zertifikate und ist nur für einen begrenzten Zeitraum gültig\cite[][Kapitel 5.1.2.5]{RFC5280}.
+OpenVPN kann die von der CA ausgestellte \textit{Certificate Revocation List} (CRL) benutzen kann um die Gültigkeit von Clientzertifikaten zu überprüfen.
+Da dieses Feature benutzt werden soll, sind Einstellungen in Bezug auf die CRL für diese Arbeit relevant. 
 
-Die von EasyRSA ausgestellte CRL \dots
+Die CRL enthält Informationen über alle von der CA zurückgerufenen Zertifikate und ist nur für einen begrenzten Zeitraum gültig, der anhand der Felder \enquote{Last Update} und \enquote{Next Update} begrenzt wird\cite[][Kapitel 5.1.2]{RFC5280}.
+Dabei sollte eine aktualisierte CRL noch vor Erreichen des \enquote{Next Update}-Zeitpunkt der vorherigen CRL durch die CA veröffentlicht werden\cite[][Kapitel 5.1.2.5]{RFC5280}.
 
-Hat eher symbolischen Gehalt, da sie eh automatisiert aktualisiert werden sollte.
-Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (Cronjob oder so)
+Für EasyRSA kann die Gültigkeitsdauer der CRL in Tagen konfiguriert werden.
+Da OpenVPN bei einer abgelaufenen CRL den Dienst verweigert, ist für einen unterbrechungsfreien Betrieb wichtig, dass eine gültige CRL immer zur Verfügung steht.
+Grund\-sätz\-lich stellt dies kein Problem dar: Sowohl das Ausstellen, als auch das Installieren der CRL auf dem OpenVPN-Server können automatisiert werden.
+Sollte es dennoch zu Problemen kommen oder die manuelle Erneuerung und Verteilung der CRL notwendig werden, so wird eine Gültigkeitsdauer der CRL von 180 Tagen festgelegt auch in unter diesen Bedingungen einen unterbrechungsfreien Betrieb des VPN-Dienst zu gewährleisten.
 
 
 \section{Einrichtung des VPN-Servers}