diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index c37ae01..81fda38 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -206,14 +206,25 @@ Gewinner: Zertifikate \section{Umsetzung einer Zertifizierungsstelle} +OpenSSL ist aufgrund der Abhängigkeit von OpenVPN bereits gegeben. +Mit OpenSSL kann man Schlüsselpaare erzeugen, Zertifikatsanträge erzeugen und Zertifikate ausstellen. +Allerdings erfordert das viel Detailwissen und die Verwaltung der ausgestellten Zertifikate ist nicht einfach. +Da wir Zertifikate auch unbrauchbar machen wollen, müssen Revocations ebenfalls möglich sein. +Eine CRL muss erzeugt werden können, damit diese im OpenVPN-Dienst für die Prüfung der Gültigkeit der Zertifikate verwendet werden kann. +Jetzt kann man viel Zeit investieren, die notwendigen Skripte selbst zu schreiben. +Allerdings hat OpenVPN bereits eine Abhängigkeit auf die Skriptesammlung EasyRSA, welche exakt für diesen Zweck gebaut wurde. +Die von Debian 9 mitgelieferte Version 2.3.x ist schon etwas älter, könnte aber verwendet werden. +Allerdings gibt es auch eine modernere Neuentwicklung in Version 3.0.5, die langfristig vom OpenVPN-Team weiterentwickelt wird und einige Verbesserungen im Vergleich zur alten v2 mitbringt. -\paragraph{Einrichtung einer SSL-CA mit EasyRSA} Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile Ggf. kurz ein Blick darauf, was alles für Features benötigt werden. EasyRSAv3 ist eine Neuentwicklung von EasyRSAv2. Die neue Version wird vom OpenVPN-Team weiter entwickelt werden. Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte +Viele Verbesserungen, wie z.B. Unterstützung für ECDSA (Siehe Changelog) oder UTF-8 ist jetzt standard, AES256 wird für die Verschlüsselung des CA-Keys verwendet, \dots + +Da für die Anfertigung von Zertifikatsanträgen eine korrekte Konfiguration von OpenSSL benötigt wird und diverse Einstellungen vorgegeben werden sollen, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA v3.0.5 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird. Danach: Wie funktioniert die CA mit EasyRSA? --> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation @@ -231,8 +242,12 @@ Danach: Wie funktioniert die CA mit EasyRSA? ** IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen * Diverse Best-practices/Designpattern übernommen (Konfiguration durch Pakete, SSH-Konfiguration, ...) + \section{Erstellung eines Betriebskonzept} -Installation, Konfiguration, Inbetriebnahme, notwendige (regelmäßige) Wartungsarbeiten +Installation/Installationsanleitung +Konfiguration +Inbetriebnahme +notwendige (regelmäßige) Wartungsarbeiten \chapter{Fazit}