Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2018/03/09 08:17] flacco [1. Hintergründe] |
invis_server_wiki:client [2018/03/09 08:24] flacco [VPN Zugang vorbereiten] |
||
|---|---|---|---|
| Zeile 485: | Zeile 485: | ||
| Damit sind die Schwierigkeiten grob umrissen. | Damit sind die Schwierigkeiten grob umrissen. | ||
| - | === 2. Vorgehensweise === | + | //**Hinweis:** Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt.// |
| - | Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt. | + | === 1. VPN Zugang vorbereiten === |
| - | === VPN Zugang vorbereiten === | + | Auf dem invis-Server muss zunächst ein Schlüssel für die VPN-Verbindung des Clients erzeugt werden. Dazu benötigen Sie lediglich den Hostnamen des Clients, den Sie mit |
| - | + | ||
| - | Auf dem invis-Server muss zunächst ein Schlüssel für die VPN-Verbindung des Clients erzeugt werden, dazu benötigen Sie lediglich den Hostnamen des Clients, den Sie mit | + | |
| <code> | <code> | ||
| Zeile 499: | Zeile 497: | ||
| auf dem Client ermitteln können. | auf dem Client ermitteln können. | ||
| - | Auf dem invis-Server wechseln Sie als Benutzer "root" ins Verzeichnis <file>/etc/openvpn/ihre-domain.loc</file> | + | Die Erzeugung des Schlüssels erfolgt auf dem invis-Server unter Verwendung des Scripts //**inviscerts**//. Sie benötigen neben dem Hostnamen des Clients auch das Passwort Ihrer CA. |
| - | + | ||
| - | Das erzeugen des Schlüsseldatei läuft wie folgt ab: | + | |
| <code> | <code> | ||
| - | linux:/etc/openvpn/ihr-domain.loc # source ./vars | + | invis:~ # inviscerts vpn |
| - | linux:/etc/openvpn/ihr-domain.loc # ./build-key-pkcs12 clienthostname | + | |
| </code> | </code> | ||
| - | Im Verlauf des Schlüsselbaus werden die üblichen Fragen für das zugehörige Zertifikat gestellt, Sie können die Vorgabewerte jeweils mit "Enter" übernehmen. Einzig die //OraginzationalUnit// ist nicht mit einem Vorgabewert belegt. Sie können hier nach Belieben einen Beschreibungstext zum Client eingeben. | + | Das Script fragt nach einem "Export Passwort" für das zu erzeugende Schlüsselpaar. Schlüssel und Zertifikat werden in einer PKCS12 Datei zusammengefasst und diese mit einem Passwort verschlüsselt. Sie sollten hier ein möglichst sicheres Passwort verwenden und dieses nur dem Inhaber des Clients nennen. |
| - | + | ||
| - | Nach Erzeugung von Schlüssel und Zertifikat werden beide Dateien in einer PKCS12 Datei zusammengefasst und mit einem Passwort verschlüsselt. Sie sollten hier ein möglichst sicheres Passwort verwenden und dieses nur dem Inhaber des Clients nennen. | + | |
| - | Die fertige Datei finden Sie im Unterverzeichnis <file>keys</file> unter dem Namen: <file>clienthostname.p12</file> | + | Die fertige Datei finden Sie im Unterverzeichnis <file>/srv/shares/service/VPN-Clients/Zertifikate</file> unter dem Namen: <file>clienthostname.p12</file> |
| Diese Datei ist auf sicherem Weg (z.B. SCP) auf den Client zu übertragen. | Diese Datei ist auf sicherem Weg (z.B. SCP) auf den Client zu übertragen. | ||