Improve CA documentation

This commit is contained in:
Jan Philipp Timme 2018-09-13 14:06:23 +02:00
parent f7605ae672
commit fdb04fc9a4
1 changed files with 7 additions and 11 deletions

View File

@ -236,7 +236,7 @@ Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei die
\textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen über den vorgegebenen Standardwert hinaus gewählt werden. \textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen über den vorgegebenen Standardwert hinaus gewählt werden.
Insbesondere bei der Ausstellung von Serverzertifikaten ist dieser Schritt sinnvoll. Insbesondere bei der Ausstellung von Serverzertifikaten ist dieser Schritt sinnvoll.
Bei der Wahl einer erhöhten Gültigkeitsdauer wird eine maximale Laufzeit von 730 Tagen (etwa 2 Jahren) wird empfohlen. Bei der Wahl einer erhöhten Gültigkeitsdauer wird empfohlen, eine maximale Gültigkeitsdauer von 730 Tagen (etwa 2 Jahren) nicht zu überschreiten.
In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt. In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt.
\begin{lstlisting} \begin{lstlisting}
EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de
@ -244,21 +244,17 @@ EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de
\chapter{Erzeugen der CRL} \chapter{Erzeugen der CRL}
Der VPN-Server verwendet die von der CA ausgestellte CRL zur Überprüfung von Clientzertifikaten. Der OpenVPN-Server verwendet die von der CA ausgestellte CRL zur Überprüfung der Gültigkeit von Clientzertifikaten.
In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch \texttt{verify-crl /path/to/crl.pem} angegeben. In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch die Option \texttt{verify-crl /path/to/crl.pem} angegeben.
Somit können durch die CA widerrufene Zertifikate nicht mehr zur Anmeldung am VPN-Dienst benutzt werden. Somit können durch die CA widerrufene Zertifikate nicht mehr zur Anmeldung am VPN-Dienst benutzt werden.
Die folgenden Befehle können zum Generieren der CRL verwendet werden: Mit dem folgenden Befehl wird die CRL erzeugt.
\begin{lstlisting} \begin{lstlisting}
# Datenbank aktualisieren (regeneriert index.attrs.txt oder so TODO)
./easyrsa update-db
# CRL erzeugen
./easyrsa gen-crl ./easyrsa gen-crl
\end{lstlisting} \end{lstlisting}
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt. Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
\textbf{Achtung:} Der VPN-Server lehnt eine ungültige CRL-Datei ab und verweigert dann den Dienst. \textbf{Achtung:} Der OpenVPN-Server lehnt eine abgelaufene CRL-Datei ab und verweigert dann den Dienst.
Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und auf den VPN-Server übertragen werden. Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und die Kopie der CRL auf dem VPN-Server regelmäßig aktualisiert werden.
Anschließend sollte der VPN-Dienst via \texttt{systemctl reload ...} neu geladen werden. Anschließend sollte der VPN-Dienst via \texttt{systemctl reload ...} neu geladen werden.
Eine Automatisierung dieses Vorgangs wird empfohlen. Eine Automatisierung dieses Vorgangs ist möglich und wird empfohlen.