Autosave
This commit is contained in:
parent
de5c867a5e
commit
adbfb61afe
@ -206,14 +206,25 @@ Gewinner: Zertifikate
|
|||||||
|
|
||||||
|
|
||||||
\section{Umsetzung einer Zertifizierungsstelle}
|
\section{Umsetzung einer Zertifizierungsstelle}
|
||||||
|
OpenSSL ist aufgrund der Abhängigkeit von OpenVPN bereits gegeben.
|
||||||
|
Mit OpenSSL kann man Schlüsselpaare erzeugen, Zertifikatsanträge erzeugen und Zertifikate ausstellen.
|
||||||
|
Allerdings erfordert das viel Detailwissen und die Verwaltung der ausgestellten Zertifikate ist nicht einfach.
|
||||||
|
Da wir Zertifikate auch unbrauchbar machen wollen, müssen Revocations ebenfalls möglich sein.
|
||||||
|
Eine CRL muss erzeugt werden können, damit diese im OpenVPN-Dienst für die Prüfung der Gültigkeit der Zertifikate verwendet werden kann.
|
||||||
|
|
||||||
|
Jetzt kann man viel Zeit investieren, die notwendigen Skripte selbst zu schreiben.
|
||||||
|
Allerdings hat OpenVPN bereits eine Abhängigkeit auf die Skriptesammlung EasyRSA, welche exakt für diesen Zweck gebaut wurde.
|
||||||
|
Die von Debian 9 mitgelieferte Version 2.3.x ist schon etwas älter, könnte aber verwendet werden.
|
||||||
|
Allerdings gibt es auch eine modernere Neuentwicklung in Version 3.0.5, die langfristig vom OpenVPN-Team weiterentwickelt wird und einige Verbesserungen im Vergleich zur alten v2 mitbringt.
|
||||||
|
|
||||||
\paragraph{Einrichtung einer SSL-CA mit EasyRSA}
|
|
||||||
Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile
|
Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile
|
||||||
Ggf. kurz ein Blick darauf, was alles für Features benötigt werden.
|
Ggf. kurz ein Blick darauf, was alles für Features benötigt werden.
|
||||||
EasyRSAv3 ist eine Neuentwicklung von EasyRSAv2.
|
EasyRSAv3 ist eine Neuentwicklung von EasyRSAv2.
|
||||||
Die neue Version wird vom OpenVPN-Team weiter entwickelt werden.
|
Die neue Version wird vom OpenVPN-Team weiter entwickelt werden.
|
||||||
Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte
|
Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte
|
||||||
|
Viele Verbesserungen, wie z.B. Unterstützung für ECDSA (Siehe Changelog) oder UTF-8 ist jetzt standard, AES256 wird für die Verschlüsselung des CA-Keys verwendet, \dots
|
||||||
|
|
||||||
|
Da für die Anfertigung von Zertifikatsanträgen eine korrekte Konfiguration von OpenSSL benötigt wird und diverse Einstellungen vorgegeben werden sollen, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA v3.0.5 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird.
|
||||||
|
|
||||||
Danach: Wie funktioniert die CA mit EasyRSA?
|
Danach: Wie funktioniert die CA mit EasyRSA?
|
||||||
--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation
|
--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation
|
||||||
@ -231,8 +242,12 @@ Danach: Wie funktioniert die CA mit EasyRSA?
|
|||||||
** IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen
|
** IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen
|
||||||
* Diverse Best-practices/Designpattern übernommen (Konfiguration durch Pakete, SSH-Konfiguration, ...)
|
* Diverse Best-practices/Designpattern übernommen (Konfiguration durch Pakete, SSH-Konfiguration, ...)
|
||||||
|
|
||||||
|
|
||||||
\section{Erstellung eines Betriebskonzept}
|
\section{Erstellung eines Betriebskonzept}
|
||||||
Installation, Konfiguration, Inbetriebnahme, notwendige (regelmäßige) Wartungsarbeiten
|
Installation/Installationsanleitung
|
||||||
|
Konfiguration
|
||||||
|
Inbetriebnahme
|
||||||
|
notwendige (regelmäßige) Wartungsarbeiten
|
||||||
|
|
||||||
|
|
||||||
\chapter{Fazit}
|
\chapter{Fazit}
|
||||||
|
Loading…
Reference in New Issue
Block a user