Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:upgrade [2016/04/23 09:14] flacco [Nacharbeit] |
invis_server_wiki:upgrade [2016/04/23 09:31] flacco [PKI erzeugen] |
||
---|---|---|---|
Zeile 957: | Zeile 957: | ||
<code> | <code> | ||
- | linux:~ easyrsa gen-dh | + | linux:~ # openssl gendh -out $path/$domain/dh.pem -2 2048 |
+ | linux:~ # openssl gendh -out $path/$domain/dh_512.pem -2 512 | ||
</code> | </code> | ||
+ | |||
+ | Die Diffie-Hellman Parameter-Dateien werden bewusst direkt mit //**openssl**// erstellt, da das Script //**easyrsa**// immer die in der Konfiguration vorgegebene Schlüssellänge verwendet. Diese sollte auf 4096Bit eingestellt sein. Der Bau einer 4096 Bit großen DH-Parameterdatei dauert allerdings je nach System mehrere Stunden. Außerdem wird für die überarbeitete Postfix-Konfiguration noch eine 512Bit lange Datei benötigt. | ||
**CRL erzeugen** | **CRL erzeugen** | ||
<code> | <code> | ||
- | linux:~ easyrsa gen-crl | + | linux:~ # easyrsa gen-crl |
</code> | </code> | ||
Hierfür wird wieder das CA-Passwort benötigt. | Hierfür wird wieder das CA-Passwort benötigt. | ||
+ | |||
+ | === Aufbau der invis-Server Verzeichnisstruktur === | ||
+ | |||
+ | Es sind drei neue Verzeichnisse anzulegen: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # mkdir /etc/invis/certs | ||
+ | linux:~ # mkdir /etc/invis/private | ||
+ | linux:~ # mkdir /etc/openvpn/keys | ||
+ | </code> | ||
+ | |||
+ | Jetzt muss das Stammzertifikat der Zertifizierungsstelle "verteilt" werden: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/invis/certs/ | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/openvpn/keys/ | ||
+ | </code> | ||
+ | |||
+ | Ebenfalls zu kopieren sind die CRL, sowie die Diffie-Hellman-Parameter Dateien | ||
+ | |||
+ | <code> | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh.pem /etc/openvpn/keys/ | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/crl.pem /etc/openvpn/keys/ | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh*.pem /etc/postfix/ | ||
+ | </code> | ||
+ | |||
+ | Jetzt können wie im Abschnitt "invis Administration" beschrieben Schlüssel und Zertifikate für den Server erstellt werden. | ||
+ | |||
+ | Um die Umstellung zu komplettieren, müssen die Pfade zu Schlüsseln- und Zertifikaten in den Konfigurationsdateien des Apache-Webservers, von Postfix und ggf. Dovecot, von Samba und openVPN an die neuen Verzeichnisse und Dateinamen anzupassen. | ||
+ | |||
+ | Eine detaillierte Anleitung dafür folgt. | ||
====== invis-Classic -> invis-AD ====== | ====== invis-Classic -> invis-AD ====== |