This commit is contained in:
Jan Philipp Timme 2018-09-11 13:28:04 +02:00
parent 1ce4ef57fa
commit b03af26619

View File

@ -13,6 +13,9 @@ Ein Neustart des Computers ist notwendig, um die Änderung zu übernehmen.
Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls. OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
Das könnte einige Probleme lösen.
Daher muss durch die CA mindestens diese Datei bereitgestellt werden. Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen. In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
@ -40,7 +43,46 @@ vim vars
# Konfiguration der CA anpassen: # Konfiguration der CA anpassen:
# * Standardgültigkeit für ausgestellte Zertifikate # * Standardgültigkeit für ausgestellte Zertifikate
# * Name der CA, etc # * Name der CA, etc
\end{lstlisting}
Frage: Welche Einstellungen sind anzupassen?
RSA vs EC? (Geht das mit allen OpenVPN-Clients?)
From man:openvpn:
--tls-cert-profile profile
OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.
Wie groß soll der Schlüssel sein? [Welche Kurve?]
Zertifikate nur mit CN oder volles Schema?
* Eigentlich egal, keine Vorteile oder Nachteile. Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas.
Welche Angaben werden für Benutzerzertifikate übernommen? Namen? Benutzerkennungen?
-> Falls es möglich sein soll, Zertifikate bei Missbrauch/Verlust/etc zu sperren, dann braucht man einen eindeutigen Identifier
* Voller Name -> Konflikte selten aber möglich, personenbezogene Daten
* E-Mail-Adresse: Eindeutig, aber personenbezogene Daten
* Benutzername/LUH-ID: Eindeutig, kein Konfliktpotential, personenbeziehbar. (Nur "alte" Studenten haben noch Benutzernamen mit Namen drin)
* Matrikelnummer (bei Studenten): Eindeutig, ggf. hat ein Student mehrere, aber das ist kein Thema. personenbeziehbar. Nachteil: Gibt es für Mitarbeiter nicht.
Laufzeit für Serverzertifikate?
* 10 Jahre ist etwas viel. Vielleicht 1 oder 2 Jahre?
Laufzeit für Clientzertifikate individuell oder je nach Zielgruppe?
* Studenten: 6 Monate (immer bis zum Ende des Semesters).
* Mitarbeiter: selbe Laufzeit würde den Prozess vereinfachen. Ansonsten vllt sogar 1-2 Jahre?
Laufzeit der CA - sinnvolle Werte?
10 Jahre ist akzeptabel. Wenn man die Laufzeit bestehender Zertifikate im Auge behält, kann der Wechsel einer CA zu einem Stichtag hin funktionieren.
Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (->Cronjob oder so)
\begin{lstlisting}
# Verzeichnisstruktur erzeugen (löscht bereits existierende Struktur!) # Verzeichnisstruktur erzeugen (löscht bereits existierende Struktur!)
./easyrsa init-pki ./easyrsa init-pki