diff --git a/Dokumentation-CA.tex b/Dokumentation-CA.tex
index c99d7f0..d1ec5fd 100644
--- a/Dokumentation-CA.tex
+++ b/Dokumentation-CA.tex
@@ -13,6 +13,9 @@ Ein Neustart des Computers ist notwendig, um die Änderung zu übernehmen.
 Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt
 
 OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
+Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
+Das könnte einige Probleme lösen.
+
 Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
 In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
 
@@ -40,7 +43,46 @@ vim vars
 # Konfiguration der CA anpassen:
 # * Standardgültigkeit für ausgestellte Zertifikate
 # * Name der CA, etc
+\end{lstlisting}
 
+Frage: Welche Einstellungen sind anzupassen?
+
+RSA vs EC? (Geht das mit allen OpenVPN-Clients?)
+
+From man:openvpn:
+--tls-cert-profile profile
+ OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.
+
+
+
+Wie groß soll der Schlüssel sein? [Welche Kurve?]
+
+
+Zertifikate nur mit CN oder volles Schema?
+* Eigentlich egal, keine Vorteile oder Nachteile. Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas.
+
+
+Welche Angaben werden für Benutzerzertifikate übernommen? Namen? Benutzerkennungen? 
+-> Falls es möglich sein soll, Zertifikate bei Missbrauch/Verlust/etc zu sperren, dann braucht man einen eindeutigen Identifier
+* Voller Name -> Konflikte selten aber möglich, personenbezogene Daten
+* E-Mail-Adresse: Eindeutig, aber personenbezogene Daten
+* Benutzername/LUH-ID: Eindeutig, kein Konfliktpotential, personenbeziehbar. (Nur "alte" Studenten haben noch Benutzernamen mit Namen drin)
+* Matrikelnummer (bei Studenten): Eindeutig, ggf. hat ein Student mehrere, aber das ist kein Thema. personenbeziehbar. Nachteil: Gibt es für Mitarbeiter nicht.
+
+Laufzeit für Serverzertifikate?
+* 10 Jahre ist etwas viel. Vielleicht 1 oder 2 Jahre?
+
+Laufzeit für Clientzertifikate individuell oder je nach Zielgruppe?
+* Studenten: 6 Monate (immer bis zum Ende des Semesters).
+* Mitarbeiter: selbe Laufzeit würde den Prozess vereinfachen. Ansonsten vllt sogar 1-2 Jahre?
+
+Laufzeit der CA - sinnvolle Werte?
+10 Jahre ist akzeptabel. Wenn man die Laufzeit bestehender Zertifikate im Auge behält, kann der Wechsel einer CA zu einem Stichtag hin funktionieren.
+
+Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (->Cronjob oder so)
+
+
+\begin{lstlisting}
 # Verzeichnisstruktur erzeugen (löscht bereits existierende Struktur!)
 ./easyrsa init-pki