JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Add more text, finish CA concept

This commit is contained in:
Jan Philipp Timme 2018-10-08 16:36:12 +02:00
parent 949edbf186
commit a951fcf6d9
1 changed files with 8 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

12
MA-Inhalt.tex
View File

@ -415,12 +415,16 @@ Für alle weiteren Felder werden folgende Vorgaben festgelegt:
\texttt{OU}: \enquote{Abteilung Informatik}. \texttt{OU}: \enquote{Abteilung Informatik}.
\paragraph{Gültigkeitsdauer der CRL} \paragraph{Gültigkeitsdauer der CRL}
Die \textit{Certificate Revocation List} (CRL) enthält Informationen über alle von der CA zurückgerufenen Zertifikate und ist nur für einen begrenzten Zeitraum gültig\cite[][Kapitel 5.1.2.5]{RFC5280}. OpenVPN kann die von der CA ausgestellte \textit{Certificate Revocation List} (CRL) benutzen kann um die Gültigkeit von Clientzertifikaten zu überprüfen.
Da dieses Feature benutzt werden soll, sind Einstellungen in Bezug auf die CRL für diese Arbeit relevant.
Die von EasyRSA ausgestellte CRL \dots Die CRL enthält Informationen über alle von der CA zurückgerufenen Zertifikate und ist nur für einen begrenzten Zeitraum gültig, der anhand der Felder \enquote{Last Update} und \enquote{Next Update} begrenzt wird\cite[][Kapitel 5.1.2]{RFC5280}.
Dabei sollte eine aktualisierte CRL noch vor Erreichen des \enquote{Next Update}-Zeitpunkt der vorherigen CRL durch die CA veröffentlicht werden\cite[][Kapitel 5.1.2.5]{RFC5280}.
Hat eher symbolischen Gehalt, da sie eh automatisiert aktualisiert werden sollte. Für EasyRSA kann die Gültigkeitsdauer der CRL in Tagen konfiguriert werden.
Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (Cronjob oder so) Da OpenVPN bei einer abgelaufenen CRL den Dienst verweigert, ist für einen unterbrechungsfreien Betrieb wichtig, dass eine gültige CRL immer zur Verfügung steht.
Grund\-sätz\-lich stellt dies kein Problem dar: Sowohl das Ausstellen, als auch das Installieren der CRL auf dem OpenVPN-Server können automatisiert werden.
Sollte es dennoch zu Problemen kommen oder die manuelle Erneuerung und Verteilung der CRL notwendig werden, so wird eine Gültigkeitsdauer der CRL von 180 Tagen festgelegt auch in unter diesen Bedingungen einen unterbrechungsfreien Betrieb des VPN-Dienst zu gewährleisten.
\section{Einrichtung des VPN-Servers} \section{Einrichtung des VPN-Servers}