JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Compare commits

base: JPT:00041ce6d8834f3b9ea93e142691730f62596f94
Branches Tags
JPT:master
...
compare: JPT:9fb5bddd93775eaa44ee9aa2b0fe4c1bd45588fb
Branches Tags
JPT:master

2 Commits
00041ce6d8 ... 9fb5bddd93

Author SHA1 Message Date
Jan Philipp Timme 9fb5bddd93 Unless there will be more changes, CA-DOC is ready for print 2018-09-14 12:24:41 +02:00
Jan Philipp Timme a50661e3ec Silbentrennung 2018-09-14 12:09:25 +02:00
1 changed files with 2 additions and 5 deletions
Show Stats Expand all files Collapse all files

7
CA-DOC-Inhalt.tex
View File

@ -136,16 +136,13 @@ Als Basis wird jeweils das \texttt{*.zip}-Release der aktuellen Version von Easy
Zunächst wird das aktuelle \texttt{*.zip}-Release von EasyRSA beschafft und authentisiert.
\begin{lstlisting}
# Aktuelles Release v3.0.4 beschaffen
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/ \
EasyRSA-3.0.4.zip
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/ \
EasyRSA-3.0.4.zip.sig
# Aktuell gültige(n) GPG-Schlüssel für die Signaturprüfung beschaffen
gpg --recv-keys 6F4056821152F03B6B24F2FCF8489F839D7367F3
# Signatur der heruntergeladenen Datei überprüfen
gpg --verify EasyRSA-3.0.4.zip.sig EasyRSA-3.0.4.zip
\end{lstlisting}
@ -199,7 +196,7 @@ Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \text
Für die Beantragung eines \textbf{Serverzertifikats} muss der Platzhalter \texttt{entityName} durch dessen vollqualifizierten Domainnamen des Servers ersetzt werden.
Dieser kann beispielsweise \texttt{aither.inform.hs-hannover.de} lauten.
\newpage
\textbf{Hinweis 1}: Besteht der begründete Wunsch, den erzeugten, privaten Schlüssel \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{gen-req} angehängt werden.
Dies kann nützlich sein um den privaten Schlüssel ohne zusätzliche Passworteingabe zu benutzen - zum Beispiel zum Betrieb eines OpenVPN-Servers oder zum automatischen Verbindungsaufbau mit einem OpenVPN-Client.
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen.
@ -274,7 +271,7 @@ Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und die Kopie d
Anschließend sollte der VPN-Dienst via \texttt{systemctl reload openvpn@dienstname.service} neu geladen werden.
Eine Automatisierung dieses Vorgangs ist möglich und wird empfohlen.
\chapter{Erzeugen der DH-Parameter} \label{cpt:create_dhparam}
\chapter{Erzeugen der DH-Para\-me\-ter} \label{cpt:create_dhparam}
Um Chiffren mit \textit{Perfect Forward Secrecy} zu verwenden benötigt der OpenVPN-Server eine Datei mit Diffie-Hellman-Parametern.
Da die Berechnung dieser Parameter sehr lange dauert, ist es nicht sinnvoll sie bei jedem Sitzungsaufbau zwischen OpenVPN-Client und -Server zu berechnen.
Deshalb werden diese Parameter vorab generiert und in einer Datei abgelegt.