Autosave
This commit is contained in:
parent
1ce4ef57fa
commit
b03af26619
@ -13,6 +13,9 @@ Ein Neustart des Computers ist notwendig, um die Änderung zu übernehmen.
|
|||||||
Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt
|
Mehr dazu unter https://github.com/OpenVPN/easy-rsa/blob/v3.0.4/distro/windows/README-Windows.txt
|
||||||
|
|
||||||
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
|
OpenSSL setzt eine Konfigurationsdatei voraus - unter Windows fehlt diese gegebenenfalls.
|
||||||
|
Unter Windows ist es ggf. möglich den Pfad der openssl.exe in der vars-Datei zu hinterlegen.
|
||||||
|
Das könnte einige Probleme lösen.
|
||||||
|
|
||||||
Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
|
Daher muss durch die CA mindestens diese Datei bereitgestellt werden.
|
||||||
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
|
In dem Zug kann man auch gleich ein vorkonfiguriertes Paket mit EasyRSA bereitstellen.
|
||||||
|
|
||||||
@ -40,7 +43,46 @@ vim vars
|
|||||||
# Konfiguration der CA anpassen:
|
# Konfiguration der CA anpassen:
|
||||||
# * Standardgültigkeit für ausgestellte Zertifikate
|
# * Standardgültigkeit für ausgestellte Zertifikate
|
||||||
# * Name der CA, etc
|
# * Name der CA, etc
|
||||||
|
\end{lstlisting}
|
||||||
|
|
||||||
|
Frage: Welche Einstellungen sind anzupassen?
|
||||||
|
|
||||||
|
RSA vs EC? (Geht das mit allen OpenVPN-Clients?)
|
||||||
|
|
||||||
|
From man:openvpn:
|
||||||
|
--tls-cert-profile profile
|
||||||
|
OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
Wie groß soll der Schlüssel sein? [Welche Kurve?]
|
||||||
|
|
||||||
|
|
||||||
|
Zertifikate nur mit CN oder volles Schema?
|
||||||
|
* Eigentlich egal, keine Vorteile oder Nachteile. Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas.
|
||||||
|
|
||||||
|
|
||||||
|
Welche Angaben werden für Benutzerzertifikate übernommen? Namen? Benutzerkennungen?
|
||||||
|
-> Falls es möglich sein soll, Zertifikate bei Missbrauch/Verlust/etc zu sperren, dann braucht man einen eindeutigen Identifier
|
||||||
|
* Voller Name -> Konflikte selten aber möglich, personenbezogene Daten
|
||||||
|
* E-Mail-Adresse: Eindeutig, aber personenbezogene Daten
|
||||||
|
* Benutzername/LUH-ID: Eindeutig, kein Konfliktpotential, personenbeziehbar. (Nur "alte" Studenten haben noch Benutzernamen mit Namen drin)
|
||||||
|
* Matrikelnummer (bei Studenten): Eindeutig, ggf. hat ein Student mehrere, aber das ist kein Thema. personenbeziehbar. Nachteil: Gibt es für Mitarbeiter nicht.
|
||||||
|
|
||||||
|
Laufzeit für Serverzertifikate?
|
||||||
|
* 10 Jahre ist etwas viel. Vielleicht 1 oder 2 Jahre?
|
||||||
|
|
||||||
|
Laufzeit für Clientzertifikate individuell oder je nach Zielgruppe?
|
||||||
|
* Studenten: 6 Monate (immer bis zum Ende des Semesters).
|
||||||
|
* Mitarbeiter: selbe Laufzeit würde den Prozess vereinfachen. Ansonsten vllt sogar 1-2 Jahre?
|
||||||
|
|
||||||
|
Laufzeit der CA - sinnvolle Werte?
|
||||||
|
10 Jahre ist akzeptabel. Wenn man die Laufzeit bestehender Zertifikate im Auge behält, kann der Wechsel einer CA zu einem Stichtag hin funktionieren.
|
||||||
|
|
||||||
|
Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (->Cronjob oder so)
|
||||||
|
|
||||||
|
|
||||||
|
\begin{lstlisting}
|
||||||
# Verzeichnisstruktur erzeugen (löscht bereits existierende Struktur!)
|
# Verzeichnisstruktur erzeugen (löscht bereits existierende Struktur!)
|
||||||
./easyrsa init-pki
|
./easyrsa init-pki
|
||||||
|
|
||||||
|
Loading…
Reference in New Issue
Block a user