Compare commits
2 Commits
00041ce6d8
...
9fb5bddd93
Author | SHA1 | Date | |
---|---|---|---|
9fb5bddd93 | |||
a50661e3ec |
@ -136,16 +136,13 @@ Als Basis wird jeweils das \texttt{*.zip}-Release der aktuellen Version von Easy
|
||||
|
||||
Zunächst wird das aktuelle \texttt{*.zip}-Release von EasyRSA beschafft und authentisiert.
|
||||
\begin{lstlisting}
|
||||
# Aktuelles Release v3.0.4 beschaffen
|
||||
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/ \
|
||||
EasyRSA-3.0.4.zip
|
||||
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/ \
|
||||
EasyRSA-3.0.4.zip.sig
|
||||
|
||||
# Aktuell gültige(n) GPG-Schlüssel für die Signaturprüfung beschaffen
|
||||
gpg --recv-keys 6F4056821152F03B6B24F2FCF8489F839D7367F3
|
||||
|
||||
# Signatur der heruntergeladenen Datei überprüfen
|
||||
gpg --verify EasyRSA-3.0.4.zip.sig EasyRSA-3.0.4.zip
|
||||
\end{lstlisting}
|
||||
|
||||
@ -199,7 +196,7 @@ Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \text
|
||||
|
||||
Für die Beantragung eines \textbf{Serverzertifikats} muss der Platzhalter \texttt{entityName} durch dessen vollqualifizierten Domainnamen des Servers ersetzt werden.
|
||||
Dieser kann beispielsweise \texttt{aither.inform.hs-hannover.de} lauten.
|
||||
|
||||
\newpage
|
||||
\textbf{Hinweis 1}: Besteht der begründete Wunsch, den erzeugten, privaten Schlüssel \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{gen-req} angehängt werden.
|
||||
Dies kann nützlich sein um den privaten Schlüssel ohne zusätzliche Passworteingabe zu benutzen - zum Beispiel zum Betrieb eines OpenVPN-Servers oder zum automatischen Verbindungsaufbau mit einem OpenVPN-Client.
|
||||
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen.
|
||||
@ -274,7 +271,7 @@ Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und die Kopie d
|
||||
Anschließend sollte der VPN-Dienst via \texttt{systemctl reload openvpn@dienstname.service} neu geladen werden.
|
||||
Eine Automatisierung dieses Vorgangs ist möglich und wird empfohlen.
|
||||
|
||||
\chapter{Erzeugen der DH-Parameter} \label{cpt:create_dhparam}
|
||||
\chapter{Erzeugen der DH-Para\-me\-ter} \label{cpt:create_dhparam}
|
||||
Um Chiffren mit \textit{Perfect Forward Secrecy} zu verwenden benötigt der OpenVPN-Server eine Datei mit Diffie-Hellman-Parametern.
|
||||
Da die Berechnung dieser Parameter sehr lange dauert, ist es nicht sinnvoll sie bei jedem Sitzungsaufbau zwischen OpenVPN-Client und -Server zu berechnen.
|
||||
Deshalb werden diese Parameter vorab generiert und in einer Datei abgelegt.
|
||||
|
Loading…
Reference in New Issue
Block a user