easyrsa

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
easyrsa [21/11/2023 - 16:04] admineasyrsa [11/09/2024 - 09:06] (aktuell) thommie4
Zeile 9: Zeile 9:
 initialisieren initialisieren
  
-''./easyrsa init-pki ''+<code> 
 +./easyrsa init-pki  
 +</code>
  
 DH erzeugen DH erzeugen
  
-''./easyrsa gen-dh ''+<code> 
 +./easyrsa gen-dh 
 +</code>
  
-pki bauen (mit PW)+pki bauen (mit Passwort zum Signieren von certs) 
 + 
 +<code> 
 +./easyrsa build-ca 
 +</code>
  
-''./easyrsa build-ca'' 
 ===== Signing Request ===== ===== Signing Request =====
  
 Signing Request (CSR) für Server oder Client, mit oder ohne Passwort (nopass = Key ohne Passwort) Signing Request (CSR) für Server oder Client, mit oder ohne Passwort (nopass = Key ohne Passwort)
  
-''./easyrsa gen-req EntityName nopass ''+<code> 
 +./easyrsa gen-req EntityName nopass 
 +</code> 
 + 
 ===== Importieren ===== ===== Importieren =====
 +
 +<code>
 +./easyrsa import-req /path/to /request .req nameOfRequest
 <code> <code>
  
-''./easyrsa import-req /path/to /request .req nameOfRequest''+===== Signieren =====
  
 +Die signierende CA ntscheidet, ob sie ein client oer server Zertifikat signiert
 +
 +<code>
 +./easyrsa sign-req client EntityName ./easyrsa sign-req server EntityName 
 </code> </code>
  
-===== Signieren (client oder server) =====+===== Zertifikats Inhalt anzeigen ===== 
  
-''./easyrsa sign-req client EntityName  ''./easyrsa sign-req server EntityName  ===== Zertifikats Inhalt anzeigen ===== ''./easyrsa show-req EntityName./easyrsa show-cert EntityName Alternativ direkt mit openssl '' # Zertifikat komplett anzeigen openssl x509 -text -in <zertifikatsname.crt# Komplette Anzeige ohne Zertifiaktstext anzeigen openssl x509 -noout -text -in <zertifikatsname.crt> # den Herausgeber des Zertifikats anzeigen openssl x509 -noout -issuer -in <zertifikatsname.crt> # Für wen wurde das Zertifikat ausgestellt? openssl x509 -noout -subject -in <zertifikatsname.crt> # Für welchen Zeitraum ist das Zertifikat gültig? openssl x509 -noout -dates -in <zertifikatsname.crt> # das obige kombiniert anzeigen openssl x509 -noout -issuer -subject -dates -in <zertifikatsname.crt> # den hash anzeigen openssl x509 -noout -hash -in <zertifikatsname.crt> # den MD5-Fingerprint anzeigen openssl x509 -noout -fingerprint -in <zertifikatsname.crt>  Key Passwörter ändern ./easyrsa set-rsa-pass EntityName+<code> 
 +./easyrsa show-req EntityName./easyrsa show-cert EntityName  
 +</code>
  
-''./easyrsa set-ec-pass EntityName Mit "nopass" wird ein Passwort entfernt **CSR** openssl req -in www2.netzwissen.de.csr -text -noout+Alternativ direkt mit openssl  das Zertifikat komplett anzeigen lassen:
  
-**Zertifikat**+<code> 
 +openssl x509 -text -in <zertifikatsname.crt> 
 +</code> 
  
-''openssl x509 -in certificate.crt -text -noout ===== Zertifikat zurückziehen ===== '' ./easyrsa revoke EntityName  CRL erzeugen '' ./easyrsa gen-crl  Achtung: Die CRL sollte **alle sechs Monate** neu erzeugt und auf den openvpn Server übertragen werden. Die genauen Daten stehen in der CRL Datei: '' root@pki01:~/easyrsa/easyrsa3/pki# openssl crl -inform PEM -text -noout -in crl.pem Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: CN = dvsdnet CA Last Update: Jul 4 14:52:21 2023 GMT Next Update: Dec 31 14:52:21 2023 GMT  ====== Spezialfälle bei OpenVPN ====== Validierung über common name (alte Methode): Der Common Name für das Server Zertifikat muss den Präfix aus der Server Config enthalten: –verify-x509-name openvpn name-prefix+Komplette Anzeige ohne Zertifiaktstext anzeigen 
  
-Mit easyrsa3:+<code> 
 +openssl x509 -noout -text -in <zertifikatsname.crt> 
 +</code> 
  
-''locutus:~/easy-rsa/easyrsa3 ./easyrsa sign-req server openvpn.locutus.netzwissen.loc+Den Herausgeber des Zertifikats anzeigen  
 + 
 +<code> 
 +openssl x509 -noout -issuer -in <zertifikatsname.crt>  
 +</code> 
 + 
 +Für wen wurde das Zertifikat ausgestellt?  
 + 
 +<code> 
 +openssl x509 -noout -subject -in <zertifikatsname.crt>  
 +</code> 
 + 
 +Für welchen Zeitraum ist das Zertifikat gültig?  
 + 
 +<code> 
 +openssl x509 -noout -dates -in <zertifikatsname.crt> 
 +</code>  
 + 
 +Das obige kombiniert anzeigen  
 + 
 +<code> 
 +openssl x509 -noout -issuer -subject -dates -in <zertifikatsname.crt> 
 +</code>  
 + 
 +Den hash anzeigen  
 + 
 +<code> 
 +openssl x509 -noout -hash -in <zertifikatsname.crt> 
 +</code>  
 + 
 +Den MD5-Fingerprint anzeigen  
 + 
 +<code> 
 +openssl x509 -noout -fingerprint -in <zertifikatsname.crt> 
 +</code> 
 + 
 +Key Passwörter ändern  
 + 
 +<code> 
 +./easyrsa set-rsa-pass EntityName 
 +./easyrsa set-ec-pass EntityName 
 +</code> 
 + 
 +Mit "nopass" wird ein Passwort entfernt  
 + 
 +===== CSR ===== 
 + 
 +<code> 
 +openssl req -in www2.netzwissen.de.csr -text -noout  
 +</code> 
 + 
 +**Zertifikat**  
 + 
 +<code> 
 +openssl x509 -in certificate.crt -text -noout  
 +</code> 
 + 
 +===== Zertifikat zurückziehen =====  
 + 
 +<code> 
 +./easyrsa revoke EntityName  
 +</code> 
 + 
 +CRL erzeugen   
 +<code> 
 +./easyrsa gen-crl 
 +</code>  
 + 
 +Achtung: Die CRL sollte **alle sechs Monate** neu erzeugt und auf den openvpn Server übertragen werden. Die genauen Daten stehen in der CRL Datei:  
 + 
 +<code> 
 +root@pki01:~/easyrsa/easyrsa3/pki#  
 +openssl crl -inform PEM -text -noout -in crl.pem  
 +</code> 
 + 
 +Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: CN = dvsdnet CA Last Update: Jul 4 14:52:21 2023 GMT Next Update: Dec 31 14:52:21 2023 GMT  
 + 
 +====== Spezialfälle bei OpenVPN ======  
 + 
 +Validierung über common name (alte Methode): Der Common Name für das Server Zertifikat muss den Präfix aus der Server Config enthalten: –verify-x509-name openvpn name-prefix Mit easyrsa3: locutus:~/easy-rsa/easyrsa3 ./easyrsa sign-req server openvpn.locutus.netzwissen.loc
  
 **Neue Methode nach RFC3280: Verifikation nach Zertifikatstyp**: **Neue Methode nach RFC3280: Verifikation nach Zertifikatstyp**:
  
-''remote-cert-tls client ./easyrsa sign-req client franklin2.netzwissen.loc+<code> 
 +remote-cert-tls client ./easyrsa sign-req client franklin2.netzwissen.loc 
 +</code>
  
-Im Client wird im Gegenzug geprüft, ob das vom OpenVPN Server präsentierte Zertifikat den "server" Typ hat+Im Client wird im Gegenzug geprüft, ob das vom OpenVPN Server präsentierte Zertifikat den "server" Typ hat 
  
-====== PKITOOL Befehle ======+====== PKITOOL Befehle ====== 
  
-''pkitool –initca → Build root certificate\\+pkitool –initca → Build root certificate\\
 pkitool –initca –pass → Build root certificate with password-protected key\\ pkitool –initca –pass → Build root certificate with password-protected key\\
 pkitool –server server1 → Build "server1" certificate/key\\ pkitool –server server1 → Build "server1" certificate/key\\
Zeile 65: Zeile 170:
 Typical usage for initial PKI setup. Build myserver, client1, and client2 cert/keys. Protect client2 key with a password. Build DH parms. Generated files in ./keys : Typical usage for initial PKI setup. Build myserver, client1, and client2 cert/keys. Protect client2 key with a password. Build DH parms. Generated files in ./keys :
  
-''[edit vars with your site-specific info]  source ./vars ./clean-all ./build-dh → takes a long time, consider backgrounding ./pkitool –initca ./pkitool –server myserver ./pkitool client1 ./pkitool –pass client2 +''[edit vars with your site-specific info] source ./vars ./clean-all ./build-dh → takes a long time, consider backgrounding ./pkitool –initca ./pkitool –server myserver ./pkitool client1 ./pkitool –pass client2 Typical usage for adding client cert to existing PKI: source ./vars ./pkitool client-new
- +
-Typical usage for adding client cert to existing PKI: +
- +
-''source ./vars ./pkitool client-new +
  
  • easyrsa.1700582671.txt.gz
  • Zuletzt geändert: 17/08/2024 - 07:06
  • (Externe Bearbeitung)