Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:upgrade [2016/04/23 09:14] flacco [Nacharbeit] |
invis_server_wiki:upgrade [2016/04/23 09:31] flacco [PKI erzeugen] |
||
|---|---|---|---|
| Zeile 957: | Zeile 957: | ||
| <code> | <code> | ||
| - | linux:~ easyrsa gen-dh | + | linux:~ # openssl gendh -out $path/$domain/dh.pem -2 2048 |
| + | linux:~ # openssl gendh -out $path/$domain/dh_512.pem -2 512 | ||
| </code> | </code> | ||
| + | |||
| + | Die Diffie-Hellman Parameter-Dateien werden bewusst direkt mit //**openssl**// erstellt, da das Script //**easyrsa**// immer die in der Konfiguration vorgegebene Schlüssellänge verwendet. Diese sollte auf 4096Bit eingestellt sein. Der Bau einer 4096 Bit großen DH-Parameterdatei dauert allerdings je nach System mehrere Stunden. Außerdem wird für die überarbeitete Postfix-Konfiguration noch eine 512Bit lange Datei benötigt. | ||
| **CRL erzeugen** | **CRL erzeugen** | ||
| <code> | <code> | ||
| - | linux:~ easyrsa gen-crl | + | linux:~ # easyrsa gen-crl |
| </code> | </code> | ||
| Hierfür wird wieder das CA-Passwort benötigt. | Hierfür wird wieder das CA-Passwort benötigt. | ||
| + | |||
| + | === Aufbau der invis-Server Verzeichnisstruktur === | ||
| + | |||
| + | Es sind drei neue Verzeichnisse anzulegen: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # mkdir /etc/invis/certs | ||
| + | linux:~ # mkdir /etc/invis/private | ||
| + | linux:~ # mkdir /etc/openvpn/keys | ||
| + | </code> | ||
| + | |||
| + | Jetzt muss das Stammzertifikat der Zertifizierungsstelle "verteilt" werden: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/invis/certs/ | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/openvpn/keys/ | ||
| + | </code> | ||
| + | |||
| + | Ebenfalls zu kopieren sind die CRL, sowie die Diffie-Hellman-Parameter Dateien | ||
| + | |||
| + | <code> | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh.pem /etc/openvpn/keys/ | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/crl.pem /etc/openvpn/keys/ | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh*.pem /etc/postfix/ | ||
| + | </code> | ||
| + | |||
| + | Jetzt können wie im Abschnitt "invis Administration" beschrieben Schlüssel und Zertifikate für den Server erstellt werden. | ||
| + | |||
| + | Um die Umstellung zu komplettieren, müssen die Pfade zu Schlüsseln- und Zertifikaten in den Konfigurationsdateien des Apache-Webservers, von Postfix und ggf. Dovecot, von Samba und openVPN an die neuen Verzeichnisse und Dateinamen anzupassen. | ||
| + | |||
| + | Eine detaillierte Anleitung dafür folgt. | ||
| ====== invis-Classic -> invis-AD ====== | ====== invis-Classic -> invis-AD ====== | ||