diff --git a/CA-DOC-Inhalt.tex b/CA-DOC-Inhalt.tex index 4f4b15b..7430bb9 100644 --- a/CA-DOC-Inhalt.tex +++ b/CA-DOC-Inhalt.tex @@ -236,7 +236,7 @@ Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei die \textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen über den vorgegebenen Standardwert hinaus gewählt werden. Insbesondere bei der Ausstellung von Serverzertifikaten ist dieser Schritt sinnvoll. -Bei der Wahl einer erhöhten Gültigkeitsdauer wird eine maximale Laufzeit von 730 Tagen (etwa 2 Jahren) wird empfohlen. +Bei der Wahl einer erhöhten Gültigkeitsdauer wird empfohlen, eine maximale Gültigkeitsdauer von 730 Tagen (etwa 2 Jahren) nicht zu überschreiten. In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt. \begin{lstlisting} EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de @@ -244,21 +244,17 @@ EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de \chapter{Erzeugen der CRL} -Der VPN-Server verwendet die von der CA ausgestellte CRL zur Überprüfung von Clientzertifikaten. -In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch \texttt{verify-crl /path/to/crl.pem} angegeben. +Der OpenVPN-Server verwendet die von der CA ausgestellte CRL zur Überprüfung der Gültigkeit von Clientzertifikaten. +In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch die Option \texttt{verify-crl /path/to/crl.pem} angegeben. Somit können durch die CA widerrufene Zertifikate nicht mehr zur Anmeldung am VPN-Dienst benutzt werden. -Die folgenden Befehle können zum Generieren der CRL verwendet werden: +Mit dem folgenden Befehl wird die CRL erzeugt. \begin{lstlisting} -# Datenbank aktualisieren (regeneriert index.attrs.txt oder so TODO) -./easyrsa update-db - -# CRL erzeugen ./easyrsa gen-crl \end{lstlisting} Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt. -\textbf{Achtung:} Der VPN-Server lehnt eine ungültige CRL-Datei ab und verweigert dann den Dienst. -Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und auf den VPN-Server übertragen werden. +\textbf{Achtung:} Der OpenVPN-Server lehnt eine abgelaufene CRL-Datei ab und verweigert dann den Dienst. +Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und die Kopie der CRL auf dem VPN-Server regelmäßig aktualisiert werden. Anschließend sollte der VPN-Dienst via \texttt{systemctl reload ...} neu geladen werden. -Eine Automatisierung dieses Vorgangs wird empfohlen. +Eine Automatisierung dieses Vorgangs ist möglich und wird empfohlen.