This commit is contained in:
Jan Philipp Timme 2018-09-04 15:18:32 +02:00
parent de5c867a5e
commit adbfb61afe
1 changed files with 17 additions and 2 deletions

View File

@ -206,14 +206,25 @@ Gewinner: Zertifikate
\section{Umsetzung einer Zertifizierungsstelle}
OpenSSL ist aufgrund der Abhängigkeit von OpenVPN bereits gegeben.
Mit OpenSSL kann man Schlüsselpaare erzeugen, Zertifikatsanträge erzeugen und Zertifikate ausstellen.
Allerdings erfordert das viel Detailwissen und die Verwaltung der ausgestellten Zertifikate ist nicht einfach.
Da wir Zertifikate auch unbrauchbar machen wollen, müssen Revocations ebenfalls möglich sein.
Eine CRL muss erzeugt werden können, damit diese im OpenVPN-Dienst für die Prüfung der Gültigkeit der Zertifikate verwendet werden kann.
Jetzt kann man viel Zeit investieren, die notwendigen Skripte selbst zu schreiben.
Allerdings hat OpenVPN bereits eine Abhängigkeit auf die Skriptesammlung EasyRSA, welche exakt für diesen Zweck gebaut wurde.
Die von Debian 9 mitgelieferte Version 2.3.x ist schon etwas älter, könnte aber verwendet werden.
Allerdings gibt es auch eine modernere Neuentwicklung in Version 3.0.5, die langfristig vom OpenVPN-Team weiterentwickelt wird und einige Verbesserungen im Vergleich zur alten v2 mitbringt.
\paragraph{Einrichtung einer SSL-CA mit EasyRSA}
Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile
Ggf. kurz ein Blick darauf, was alles für Features benötigt werden.
EasyRSAv3 ist eine Neuentwicklung von EasyRSAv2.
Die neue Version wird vom OpenVPN-Team weiter entwickelt werden.
Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte
Viele Verbesserungen, wie z.B. Unterstützung für ECDSA (Siehe Changelog) oder UTF-8 ist jetzt standard, AES256 wird für die Verschlüsselung des CA-Keys verwendet, \dots
Da für die Anfertigung von Zertifikatsanträgen eine korrekte Konfiguration von OpenSSL benötigt wird und diverse Einstellungen vorgegeben werden sollen, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA v3.0.5 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird.
Danach: Wie funktioniert die CA mit EasyRSA?
--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation
@ -231,8 +242,12 @@ Danach: Wie funktioniert die CA mit EasyRSA?
** IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen
* Diverse Best-practices/Designpattern übernommen (Konfiguration durch Pakete, SSH-Konfiguration, ...)
\section{Erstellung eines Betriebskonzept}
Installation, Konfiguration, Inbetriebnahme, notwendige (regelmäßige) Wartungsarbeiten
Installation/Installationsanleitung
Konfiguration
Inbetriebnahme
notwendige (regelmäßige) Wartungsarbeiten
\chapter{Fazit}