Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
easyrsa [01/07/2019 - 12:12] – thommie3 | easyrsa [21/11/2023 - 16:01] – admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
Quelle: [[https:// | Quelle: [[https:// | ||
+ | |||
+ | EasyTLS Erweiterung: | ||
===== CA einrichten ===== | ===== CA einrichten ===== | ||
Zeile 21: | Zeile 23: | ||
'' | '' | ||
+ | ===== Importieren ===== | ||
+ | < | ||
+ | |||
+ | '' | ||
+ | |||
+ | </ | ||
+ | |||
===== Signieren (client oder server) ===== | ===== Signieren (client oder server) ===== | ||
- | '' | + | '' |
- | '' | + | '' |
===== Zertifikats Inhalt anzeigen ===== | ===== Zertifikats Inhalt anzeigen ===== | ||
- | '' | + | '' |
- | '' | + | '' |
- | Alternativ direkt mit openssl< | + | Alternativ direkt mit openssl |
+ | |||
+ | < | ||
# Zertifikat komplett anzeigen | # Zertifikat komplett anzeigen | ||
openssl x509 -text -in < | openssl x509 -text -in < | ||
Zeile 55: | Zeile 66: | ||
# den MD5-Fingerprint anzeigen | # den MD5-Fingerprint anzeigen | ||
openssl x509 -noout -fingerprint -in < | openssl x509 -noout -fingerprint -in < | ||
+ | |||
</ | </ | ||
Key Passwörter ändern | Key Passwörter ändern | ||
- | '' | + | '' |
- | '' | + | '' |
Mit " | Mit " | ||
Zeile 67: | Zeile 79: | ||
**CSR** | **CSR** | ||
- | '' | + | '' |
**Zertifikat** | **Zertifikat** | ||
- | '' | + | '' |
===== Zertifikat zurückziehen ===== | ===== Zertifikat zurückziehen ===== | ||
- | '' | + | < |
+ | ./easyrsa revoke EntityName | ||
+ | |||
+ | </ | ||
CRL erzeugen | CRL erzeugen | ||
- | '' | + | < |
+ | ./easyrsa gen-crl | ||
+ | |||
+ | </ | ||
+ | |||
+ | Achtung: Die CRL sollte **alle sechs Monate** neu erzeugt und auf den openvpn Server übertragen werden. Die genauen Daten stehen in der CRL Datei: | ||
+ | < | ||
+ | root@pki01: | ||
+ | Certificate Revocation List (CRL): | ||
+ | Version 2 (0x1) | ||
+ | Signature Algorithm: sha256WithRSAEncryption | ||
+ | Issuer: CN = dvsdnet CA | ||
+ | Last Update: Jul 4 14:52:21 2023 GMT | ||
+ | Next Update: Dec 31 14:52:21 2023 GMT | ||
+ | |||
+ | </ | ||
====== Spezialfälle bei OpenVPN ====== | ====== Spezialfälle bei OpenVPN ====== | ||
Validierung über common name (alte Methode): Der Common Name für das Server Zertifikat muss den Präfix aus der Server Config enthalten: | Validierung über common name (alte Methode): Der Common Name für das Server Zertifikat muss den Präfix aus der Server Config enthalten: | ||
- | '' | + | '' |
Mit easyrsa3: | Mit easyrsa3: | ||
- | '' | + | '' |
- | '' | + | '' |
**Neue Methode nach RFC3280: Verifikation nach Zertifikatstyp**: | **Neue Methode nach RFC3280: Verifikation nach Zertifikatstyp**: | ||
- | '' | + | '' |
- | '' | + | '' |
Im Client wird im Gegenzug geprüft, ob das vom OpenVPN Server präsentierte Zertifikat den " | Im Client wird im Gegenzug geprüft, ob das vom OpenVPN Server präsentierte Zertifikat den " | ||
Zeile 102: | Zeile 133: | ||
'' | '' | ||
- | pkitool | + | pkitool '' |
pkitool –server server1 → Build " | pkitool –server server1 → Build " | ||
pkitool client1 → Build " | pkitool client1 → Build " | ||
Zeile 110: | Zeile 141: | ||
pkitool –sign client4 → Sign " | pkitool –sign client4 → Sign " | ||
pkitool –inter interca → Build an intermediate key-signing certificate/ | pkitool –inter interca → Build an intermediate key-signing certificate/ | ||
- | pkitool –pkcs11 / | + | pkitool –pkcs11 / |
Typical usage for initial PKI setup. Build myserver, client1, and client2 cert/keys. Protect client2 key with a password. Build DH parms. Generated files in ./keys : | Typical usage for initial PKI setup. Build myserver, client1, and client2 cert/keys. Protect client2 key with a password. Build DH parms. Generated files in ./keys : | ||
- | '' | + | '' |
Typical usage for adding client cert to existing PKI: | Typical usage for adding client cert to existing PKI: | ||
- | '' | + | '' |