diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index e2ff8c8..d4f742e 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -433,8 +433,30 @@ Dabei sollte eine aktualisierte CRL noch vor Erreichen des \enquote{Next Update} Für EasyRSA kann die Gültigkeitsdauer der CRL in Tagen konfiguriert werden. Da OpenVPN bei einer abgelaufenen CRL den Dienst verweigert, ist für einen unterbrechungsfreien Betrieb wichtig, dass eine gültige CRL immer zur Verfügung steht. Grund\-sätz\-lich stellt dies kein Problem dar: Sowohl das Ausstellen, als auch das Installieren der CRL auf dem OpenVPN-Server können automatisiert werden. -Dennoch werden eventuelle Problemen bei der Automatisierung und die manuelle Erneuerung und Verteilung der CRL berücksichtigt. -Um auch unter diesen Bedingungen einen unterbrechungsfreien Betrieb des VPN-Dienst zu gewährleisten wird für die CRL eine Gültigkeitsdauer von 180 Tagen festgelegt. +Um auch bei manueller Installation der CRL einen unterbrechungsfreien Betrieb des VPN-Dienst zu gewährleisten wird für die CRL eine Gültigkeitsdauer von 180 Tagen festgelegt. + + +\section{Betriebskonzept für die Zertifizierungsstelle} \label{sct:running_ca} +Für den Betrieb der Zertifizierungsstelle wird in Absprache mit dem IT-Team eine virtuelle Maschine exklusiv für diesen Zweck erzeugt. +Unter Berücksichtigung der Anforderung \ref{req:serveros} aus Abschnitt~\ref{sct:requirements} wird Debian 9 nach den Vorgaben des IT-Teams auf der virtuellen Maschine installiert. +Das EasyRSA-Paket wird unterhalb von \texttt{/root} ausgepackt und für den Einsatz als CA für den VPN-Dienst konfiguriert. + +\paragraph{Berechtigungen} +Durch die Platzierung der CA unterhalb von \texttt{/root} kann nur der Benutzer \texttt{root} die Zertifizierungsstelle benutzen und auf den privaten Schlüssel des Wurzelzertifikats zugreifen. +Die Zugriffskontrolle lässt sich somit einfach gestalten: +Lokale Benutzer können über \texttt{sudo} für die Benutzung der CA berechtigt werden. +Zusätzlich können direkte Zugriffsrechte durch die Verwendung von SSH-Schlüsseln für den \texttt{root}-Login verteilt werden. + +Gleichzeitig beinhaltet der \texttt{root}-Benutzer eine Warnfunktion: Die Berechtigung für Zugriffe auf die CA impliziert viel Verantwortung und verlangt sorgfältiges Vorgehen bei der Benutzung der CA. +Auch die regelmäßige Kontrolle aller erteilten Berechtigungen und die überlegte Erteilung von Berechtigungen soll zusätzlich motiviert werden. + +\paragraph{Öffentliche Daten} +Damit die CA durch VPN-Benutzer korrekt verwendet werden kann, müssen einzelne Dateien für die Benutzer einfach abgerufen werden können. +Neben dem CA-Wurzelzertifikat und der jeweils aktuellen Version der CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen. +Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine mit \texttt{apache2} ein einfacher Webserver installiert, welcher mit einer minimalen Konfiguration ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefert. + +Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}. Alle Dateien werden mit den Dateirechten \texttt{444} versehen. Verzeichnisse erhalten die Rechtemaske \texttt{555}. + \chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server}