Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:upgrade [2016/04/23 09:14] flacco [Nacharbeit] |
invis_server_wiki:upgrade [2016/06/10 18:15] flacco [Zarafa Upgrade von Version 7.2.0 auf 7.2.2] |
||
---|---|---|---|
Zeile 78: | Zeile 78: | ||
linux:~ # chown -R zarafa.zarafa /srv/zarafa/ | linux:~ # chown -R zarafa.zarafa /srv/zarafa/ | ||
linux:~ # chown -R zarafa.zarafa /var/log/zarafa/ | linux:~ # chown -R zarafa.zarafa /var/log/zarafa/ | ||
- | linux:~ # choen -R .zarafa /etc/zarafa/* | + | linux:~ # chown -R .zarafa /etc/zarafa/* |
</code> | </code> | ||
Zeile 269: | Zeile 269: | ||
//**Achtung:** Nicht enthalten ist der Lizenz-Dienst in den Open-Source Paketen.// | //**Achtung:** Nicht enthalten ist der Lizenz-Dienst in den Open-Source Paketen.// | ||
+ | Auch an der Konfiguration des License-Daemons muss der Pfad zum Zarafa-Socket an das neue Setup angepasst werden. | ||
+ | |||
+ | **licensed.cfg** | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | # The URL on which we can contact zarafa-server | ||
+ | # default: file:///var/run/zarafa | ||
+ | server_socket = file:///var/run/zarafad/prio.sock | ||
+ | ... | ||
+ | </code> | ||
==== "kleines Update" mit dem invis-updater Script ==== | ==== "kleines Update" mit dem invis-updater Script ==== | ||
Zeile 957: | Zeile 968: | ||
<code> | <code> | ||
- | linux:~ easyrsa gen-dh | + | linux:~ # openssl gendh -out $path/$domain/dh.pem -2 2048 |
+ | linux:~ # openssl gendh -out $path/$domain/dh_512.pem -2 512 | ||
</code> | </code> | ||
+ | |||
+ | Die Diffie-Hellman Parameter-Dateien werden bewusst direkt mit //**openssl**// erstellt, da das Script //**easyrsa**// immer die in der Konfiguration vorgegebene Schlüssellänge verwendet. Diese sollte auf 4096Bit eingestellt sein. Der Bau einer 4096 Bit großen DH-Parameterdatei dauert allerdings je nach System mehrere Stunden. Außerdem wird für die überarbeitete Postfix-Konfiguration noch eine 512Bit lange Datei benötigt. | ||
**CRL erzeugen** | **CRL erzeugen** | ||
<code> | <code> | ||
- | linux:~ easyrsa gen-crl | + | linux:~ # easyrsa gen-crl |
</code> | </code> | ||
Hierfür wird wieder das CA-Passwort benötigt. | Hierfür wird wieder das CA-Passwort benötigt. | ||
+ | |||
+ | === Aufbau der invis-Server Verzeichnisstruktur === | ||
+ | |||
+ | Es sind drei neue Verzeichnisse anzulegen: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # mkdir /etc/invis/certs | ||
+ | linux:~ # mkdir /etc/invis/private | ||
+ | linux:~ # mkdir /etc/openvpn/keys | ||
+ | </code> | ||
+ | |||
+ | Jetzt muss das Stammzertifikat der Zertifizierungsstelle "verteilt" werden: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/invis/certs/ | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/openvpn/keys/ | ||
+ | </code> | ||
+ | |||
+ | Ebenfalls zu kopieren sind die CRL, sowie die Diffie-Hellman-Parameter Dateien | ||
+ | |||
+ | <code> | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh.pem /etc/openvpn/keys/ | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/crl.pem /etc/openvpn/keys/ | ||
+ | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh*.pem /etc/postfix/ | ||
+ | </code> | ||
+ | |||
+ | Jetzt können wie im Abschnitt "invis Administration" beschrieben Schlüssel und Zertifikate für den Server erstellt werden. | ||
+ | |||
+ | Um die Umstellung zu komplettieren, müssen die Pfade zu Schlüsseln- und Zertifikaten in den Konfigurationsdateien des Apache-Webservers, von Postfix und ggf. Dovecot, von Samba und openVPN an die neuen Verzeichnisse und Dateinamen anzupassen. | ||
+ | |||
+ | Eine detaillierte Anleitung dafür folgt. | ||
====== invis-Classic -> invis-AD ====== | ====== invis-Classic -> invis-AD ====== |