Autosave
This commit is contained in:
parent
1ce4ef57fa
commit
b03af26619
|
|
@ -13,6 +13,9 @@ Ein Neustart des Computers ist notwendig, um die Änderung zu übernehmen.
|
|||
Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt
|
||||
|
||||
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
|
||||
Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
|
||||
Das könnte einige Probleme lösen.
|
||||
|
||||
Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
|
||||
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
|
||||
|
||||
|
|
@ -40,7 +43,46 @@ vim vars
|
|||
# Konfiguration der CA anpassen:
|
||||
# * Standardgültigkeit für ausgestellte Zertifikate
|
||||
# * Name der CA, etc
|
||||
\end{lstlisting}
|
||||
|
||||
Frage: Welche Einstellungen sind anzupassen?
|
||||
|
||||
RSA vs EC? (Geht das mit allen OpenVPN-Clients?)
|
||||
|
||||
From man:openvpn:
|
||||
--tls-cert-profile profile
|
||||
OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.
|
||||
|
||||
|
||||
|
||||
Wie groß soll der Schlüssel sein? [Welche Kurve?]
|
||||
|
||||
|
||||
Zertifikate nur mit CN oder volles Schema?
|
||||
* Eigentlich egal, keine Vorteile oder Nachteile. Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas.
|
||||
|
||||
|
||||
Welche Angaben werden für Benutzerzertifikate übernommen? Namen? Benutzerkennungen?
|
||||
-> Falls es möglich sein soll, Zertifikate bei Missbrauch/Verlust/etc zu sperren, dann braucht man einen eindeutigen Identifier
|
||||
* Voller Name -> Konflikte selten aber möglich, personenbezogene Daten
|
||||
* E-Mail-Adresse: Eindeutig, aber personenbezogene Daten
|
||||
* Benutzername/LUH-ID: Eindeutig, kein Konfliktpotential, personenbeziehbar. (Nur "alte" Studenten haben noch Benutzernamen mit Namen drin)
|
||||
* Matrikelnummer (bei Studenten): Eindeutig, ggf. hat ein Student mehrere, aber das ist kein Thema. personenbeziehbar. Nachteil: Gibt es für Mitarbeiter nicht.
|
||||
|
||||
Laufzeit für Serverzertifikate?
|
||||
* 10 Jahre ist etwas viel. Vielleicht 1 oder 2 Jahre?
|
||||
|
||||
Laufzeit für Clientzertifikate individuell oder je nach Zielgruppe?
|
||||
* Studenten: 6 Monate (immer bis zum Ende des Semesters).
|
||||
* Mitarbeiter: selbe Laufzeit würde den Prozess vereinfachen. Ansonsten vllt sogar 1-2 Jahre?
|
||||
|
||||
Laufzeit der CA - sinnvolle Werte?
|
||||
10 Jahre ist akzeptabel. Wenn man die Laufzeit bestehender Zertifikate im Auge behält, kann der Wechsel einer CA zu einem Stichtag hin funktionieren.
|
||||
|
||||
Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (->Cronjob oder so)
|
||||
|
||||
|
||||
\begin{lstlisting}
|
||||
# Verzeichnisstruktur erzeugen (löscht bereits existierende Struktur!)
|
||||
./easyrsa init-pki
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue