easyrsa

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
easyrsa [01/07/2019 - 12:02] thommie3easyrsa [21/11/2023 - 16:00] admin
Zeile 1: Zeile 1:
-====== Easy-RSA3 ======+====== EasyRSA + EasyTLS ======
  
 Quelle: [[https://github.com/OpenVPN/easy-rsa|https://github.com/OpenVPN/easy-rsa]] Quelle: [[https://github.com/OpenVPN/easy-rsa|https://github.com/OpenVPN/easy-rsa]]
 +
 +EasyTLS Erweiterung: [[https://github.com/TinCanTech/easy-tls|https://github.com/TinCanTech/easy-tls]]
  
 ===== CA einrichten ===== ===== CA einrichten =====
Zeile 21: Zeile 23:
  
 ''./easyrsa gen-req EntityName nopass '' ''./easyrsa gen-req EntityName nopass ''
 +===== Importieren =====
 +<code>
 +''./easyrsa import-req /path/
 +to /
 +request .req nameOfRequest''
 +
 +</code>
 ===== Signieren (client oder server) ===== ===== Signieren (client oder server) =====
  
Zeile 31: Zeile 40:
 ''./easyrsa show-cert EntityName '' ''./easyrsa show-cert EntityName ''
  
-Alternativ direkt mit openssl<code># Zertifikat komplett anzeigen+Alternativ direkt mit openssl 
 + 
 +<code> 
 +# Zertifikat komplett anzeigen
 openssl x509 -text -in <zertifikatsname.crt> openssl x509 -text -in <zertifikatsname.crt>
  
Zeile 54: Zeile 66:
 # den MD5-Fingerprint anzeigen # den MD5-Fingerprint anzeigen
 openssl x509 -noout -fingerprint -in <zertifikatsname.crt> openssl x509 -noout -fingerprint -in <zertifikatsname.crt>
 +
 </code> </code>
  
Zeile 71: Zeile 84:
  
 ''openssl x509 -in certificate.crt -text -noout '' ''openssl x509 -in certificate.crt -text -noout ''
- 
-Achtung bei OpenVPN: der Server prüft den Präfix-String im CN, z.B: bei Devoteam: 
- 
-''CN=openvpn_dvsdnet_thomas.rother@devoteam.com '' 
 ===== Zertifikat zurückziehen ===== ===== Zertifikat zurückziehen =====
  
-''./easyrsa revoke EntityName ''+<code> 
 +./easyrsa revoke EntityName 
 + 
 +</code>
  
 CRL erzeugen CRL erzeugen
  
-''./easyrsa gen-crl ''+<code> 
 +./easyrsa gen-crl 
 + 
 +</code> 
 + 
 +Achtung: Die CRL sollte **alle sechs Monate** neu erzeugt und auf den openvpn Server übertragen werden. Die genauen Daten stehen in der CRL Datei: 
 +<code> 
 +root@pki01:~/easyrsa/easyrsa3/pki# openssl crl -inform PEM -text -noout -in crl.pem 
 +Certificate Revocation List (CRL): 
 +        Version 2 (0x1) 
 +        Signature Algorithm: sha256WithRSAEncryption 
 +        Issuer: CN = dvsdnet CA 
 +        Last Update: Jul  4 14:52:21 2023 GMT 
 +        Next Update: Dec 31 14:52:21 2023 GMT 
 + 
 +</code> 
 ====== Spezialfälle bei OpenVPN ====== ====== Spezialfälle bei OpenVPN ======
  
Zeile 122: Zeile 150:
  
 ''source ./vars ./pkitool client-new '' ''source ./vars ./pkitool client-new ''
 +
  
  • easyrsa.txt
  • Zuletzt geändert: 05/03/2024 - 10:52
  • von 127.0.0.1