Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:administration [2020/01/16 15:35] flacco [interne Zertifikatsverwaltung] |
invis_server_wiki:administration [2020/05/19 07:19] flacco [interne Zertifikatsverwaltung] |
||
---|---|---|---|
Zeile 831: | Zeile 831: | ||
Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | ||
+ | **Individuelle Zertifikate** | ||
+ | |||
+ | Werden weitere individuelle Server- oder Client-Zertifikate, so ist dies direkt mit dem Kommando ''easy-rsa'' möglich. | ||
+ | |||
+ | //**Hinweis:** Dabei ist zu beachten, dass Googles Chrome-Browser inzwischen verlangt, dass Server-Zertifikate das Attribut SubjectAltNames enthalten. Ohne dieses Attribut erfolgt immer eine Zertifikatswarnung.// | ||
+ | |||
+ | Ein Beispiel für ein Server-Zertifikat: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # easyrsa --subject-alt-name="DNS:host.example.loc" build-server-full host.example.loc nopass | ||
+ | </code> | ||
+ | |||
+ | Die Option "nopass" am Ende des Kommandos sorgt dafür, dass der private Schlüssel seinerseits nicht mit einem Passwort verschlüsselt wird. Im Falle von Server-Zertifikaten erleichtert das den Umgang damit, da dem Server-Dienst ansonsten immer das Passwort mitgegeben werden müsste. Bei vielen Diensten ist dies gar nicht möglich. | ||
+ | |||
+ | Beispiel für ein Client-Zertifikat: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # easyrsa --subject-alt-name="DNS:host.pe.loc" build-client-full host.pe.loc nopass | ||
+ | </code> | ||
+ | |||
+ | Zum Erstellen von Zertifikaten wird immer das Passwort des privaten CA-Schlüssels benötigt. | ||
+ | |||
+ | Neue Zertifikate werden in: <file>/etc/easy-rsa/example.loc/issued</file> und die zugehörigen privaten Schlüssel in: <file>/etc/easy-rsa/example.loc/private</file> abgelegt. | ||
+ | |||
+ | **PKCS#12** | ||
+ | |||
+ | Werden Schlüsselpaare in PKCS12-Containerformat benötigt, können diese nach Erstellung der Schlüsselpaare als solche exportiert werden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # easyrsa export-p12 host.example.loc | ||
+ | </code> | ||
+ | |||
+ | Dabei fragt das Kommando nach einem Export-Passwort. Soll die p12-Datei nicht Passwort-verschlüsselt werden, kann die Passworteingabe durch einfaches Drücken der Enter-Taste quittiert werden. | ||
+ | |||
+ | Zu finden sind die erstellten p12-Dateien in: <file>/etc/easy-rsa/example.loc/private</file> | ||
+ | |||
+ | **Öffentlichen Schlüssel extrahieren** | ||
+ | |||
+ | <code> | ||
+ | server14:~ # openssl x509 -in hostname.crt -noout -pubkey > hostname-public.pem | ||
+ | </code> | ||
=== Zertifikate von Let's Encrypt (ab invis Version 12.1) === | === Zertifikate von Let's Encrypt (ab invis Version 12.1) === | ||
Zeile 902: | Zeile 943: | ||
invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //**bind**// seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel, dass auf andere DNS-Forwarders umgestellt werden muss. | invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //**bind**// seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel, dass auf andere DNS-Forwarders umgestellt werden muss. | ||
+ | |||
+ | //**Hinweis:** Die genutzten DNS-Forwarder werden bereits beim Setup des invis-Servers abgefragt. Ändern müssen Sie daran lediglich etwas, wenn einer der ursprünglich gwählten Server seinen Dienst einstellt.// | ||
Die Einstellungen werden in der Datei <file>/etc/named.conf</file> vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden: | Die Einstellungen werden in der Datei <file>/etc/named.conf</file> vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden: |