Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
easyrsa [07/08/2023 - 11:48] – thommie4 | easyrsa [21/11/2023 - 16:01] – admin | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
Quelle: [[https:// | Quelle: [[https:// | ||
- | EasyTLS Erweiterung: | + | EasyTLS Erweiterung: |
===== CA einrichten ===== | ===== CA einrichten ===== | ||
Zeile 23: | Zeile 23: | ||
'' | '' | ||
+ | ===== Importieren ===== | ||
+ | < | ||
+ | |||
+ | '' | ||
+ | |||
+ | </ | ||
+ | |||
===== Signieren (client oder server) ===== | ===== Signieren (client oder server) ===== | ||
- | '' | + | '' |
- | '' | + | '' |
===== Zertifikats Inhalt anzeigen ===== | ===== Zertifikats Inhalt anzeigen ===== | ||
- | '' | + | '' |
- | '' | + | '' |
- | Alternativ direkt mit openssl< | + | Alternativ direkt mit openssl |
+ | |||
+ | < | ||
# Zertifikat komplett anzeigen | # Zertifikat komplett anzeigen | ||
openssl x509 -text -in < | openssl x509 -text -in < | ||
Zeile 57: | Zeile 66: | ||
# den MD5-Fingerprint anzeigen | # den MD5-Fingerprint anzeigen | ||
openssl x509 -noout -fingerprint -in < | openssl x509 -noout -fingerprint -in < | ||
+ | |||
</ | </ | ||
Key Passwörter ändern | Key Passwörter ändern | ||
- | '' | + | '' |
- | '' | + | '' |
Mit " | Mit " | ||
Zeile 69: | Zeile 79: | ||
**CSR** | **CSR** | ||
- | '' | + | '' |
**Zertifikat** | **Zertifikat** | ||
- | '' | + | '' |
===== Zertifikat zurückziehen ===== | ===== Zertifikat zurückziehen ===== | ||
< | < | ||
./easyrsa revoke EntityName | ./easyrsa revoke EntityName | ||
+ | |||
</ | </ | ||
Zeile 84: | Zeile 95: | ||
< | < | ||
./easyrsa gen-crl | ./easyrsa gen-crl | ||
+ | |||
</ | </ | ||
Achtung: Die CRL sollte **alle sechs Monate** neu erzeugt und auf den openvpn Server übertragen werden. Die genauen Daten stehen in der CRL Datei: | Achtung: Die CRL sollte **alle sechs Monate** neu erzeugt und auf den openvpn Server übertragen werden. Die genauen Daten stehen in der CRL Datei: | ||
- | |||
< | < | ||
- | root@pki01: | + | root@pki01: |
Certificate Revocation List (CRL): | Certificate Revocation List (CRL): | ||
Version 2 (0x1) | Version 2 (0x1) | ||
Zeile 96: | Zeile 107: | ||
Last Update: Jul 4 14:52:21 2023 GMT | Last Update: Jul 4 14:52:21 2023 GMT | ||
Next Update: Dec 31 14:52:21 2023 GMT | Next Update: Dec 31 14:52:21 2023 GMT | ||
+ | |||
</ | </ | ||
+ | |||
====== Spezialfälle bei OpenVPN ====== | ====== Spezialfälle bei OpenVPN ====== | ||
Validierung über common name (alte Methode): Der Common Name für das Server Zertifikat muss den Präfix aus der Server Config enthalten: | Validierung über common name (alte Methode): Der Common Name für das Server Zertifikat muss den Präfix aus der Server Config enthalten: | ||
- | '' | + | '' |
Mit easyrsa3: | Mit easyrsa3: | ||
- | '' | + | '' |
- | '' | + | '' |
**Neue Methode nach RFC3280: Verifikation nach Zertifikatstyp**: | **Neue Methode nach RFC3280: Verifikation nach Zertifikatstyp**: | ||
- | '' | + | '' |
- | '' | + | '' |
Im Client wird im Gegenzug geprüft, ob das vom OpenVPN Server präsentierte Zertifikat den " | Im Client wird im Gegenzug geprüft, ob das vom OpenVPN Server präsentierte Zertifikat den " | ||
Zeile 120: | Zeile 133: | ||
'' | '' | ||
- | pkitool | + | pkitool '' |
pkitool –server server1 → Build " | pkitool –server server1 → Build " | ||
pkitool client1 → Build " | pkitool client1 → Build " | ||
Zeile 128: | Zeile 141: | ||
pkitool –sign client4 → Sign " | pkitool –sign client4 → Sign " | ||
pkitool –inter interca → Build an intermediate key-signing certificate/ | pkitool –inter interca → Build an intermediate key-signing certificate/ | ||
- | pkitool –pkcs11 / | + | pkitool –pkcs11 / |
Typical usage for initial PKI setup. Build myserver, client1, and client2 cert/keys. Protect client2 key with a password. Build DH parms. Generated files in ./keys : | Typical usage for initial PKI setup. Build myserver, client1, and client2 cert/keys. Protect client2 key with a password. Build DH parms. Generated files in ./keys : | ||
- | '' | + | '' |
Typical usage for adding client cert to existing PKI: | Typical usage for adding client cert to existing PKI: | ||
- | '' | + | '' |