Autosave
This commit is contained in:
parent
de5c867a5e
commit
adbfb61afe
|
@ -206,14 +206,25 @@ Gewinner: Zertifikate
|
|||
|
||||
|
||||
\section{Umsetzung einer Zertifizierungsstelle}
|
||||
OpenSSL ist aufgrund der Abhängigkeit von OpenVPN bereits gegeben.
|
||||
Mit OpenSSL kann man Schlüsselpaare erzeugen, Zertifikatsanträge erzeugen und Zertifikate ausstellen.
|
||||
Allerdings erfordert das viel Detailwissen und die Verwaltung der ausgestellten Zertifikate ist nicht einfach.
|
||||
Da wir Zertifikate auch unbrauchbar machen wollen, müssen Revocations ebenfalls möglich sein.
|
||||
Eine CRL muss erzeugt werden können, damit diese im OpenVPN-Dienst für die Prüfung der Gültigkeit der Zertifikate verwendet werden kann.
|
||||
|
||||
Jetzt kann man viel Zeit investieren, die notwendigen Skripte selbst zu schreiben.
|
||||
Allerdings hat OpenVPN bereits eine Abhängigkeit auf die Skriptesammlung EasyRSA, welche exakt für diesen Zweck gebaut wurde.
|
||||
Die von Debian 9 mitgelieferte Version 2.3.x ist schon etwas älter, könnte aber verwendet werden.
|
||||
Allerdings gibt es auch eine modernere Neuentwicklung in Version 3.0.5, die langfristig vom OpenVPN-Team weiterentwickelt wird und einige Verbesserungen im Vergleich zur alten v2 mitbringt.
|
||||
|
||||
\paragraph{Einrichtung einer SSL-CA mit EasyRSA}
|
||||
Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github vs irgendwie selbst Skripte schreiben (Wieso das Rad neu erfinden?) - Vorteile/Nachteile
|
||||
Ggf. kurz ein Blick darauf, was alles für Features benötigt werden.
|
||||
EasyRSAv3 ist eine Neuentwicklung von EasyRSAv2.
|
||||
Die neue Version wird vom OpenVPN-Team weiter entwickelt werden.
|
||||
Vereinfachte Benutzung der zur Verfügung gestellten Shellskripte
|
||||
Viele Verbesserungen, wie z.B. Unterstützung für ECDSA (Siehe Changelog) oder UTF-8 ist jetzt standard, AES256 wird für die Verschlüsselung des CA-Keys verwendet, \dots
|
||||
|
||||
Da für die Anfertigung von Zertifikatsanträgen eine korrekte Konfiguration von OpenSSL benötigt wird und diverse Einstellungen vorgegeben werden sollen, ist es sinnvoll, dass die CA durch das IT-Team auf Basis von EasyRSA v3.0.5 kurz vorbereitet wird und dann als Paket für Benutzer bereitgestellt wird.
|
||||
|
||||
Danach: Wie funktioniert die CA mit EasyRSA?
|
||||
--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation
|
||||
|
@ -231,8 +242,12 @@ Danach: Wie funktioniert die CA mit EasyRSA?
|
|||
** IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen
|
||||
* Diverse Best-practices/Designpattern übernommen (Konfiguration durch Pakete, SSH-Konfiguration, ...)
|
||||
|
||||
|
||||
\section{Erstellung eines Betriebskonzept}
|
||||
Installation, Konfiguration, Inbetriebnahme, notwendige (regelmäßige) Wartungsarbeiten
|
||||
Installation/Installationsanleitung
|
||||
Konfiguration
|
||||
Inbetriebnahme
|
||||
notwendige (regelmäßige) Wartungsarbeiten
|
||||
|
||||
|
||||
\chapter{Fazit}
|
||||
|
|
Loading…
Reference in New Issue