Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2020/01/16 15:42] flacco [DNS Forwarder anpassen] |
invis_server_wiki:administration [2020/05/25 08:24] flacco [Sonderfunktionen im invis-Portal (Ab invis-Server Version 14.1)] |
||
|---|---|---|---|
| Zeile 405: | Zeile 405: | ||
| * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | ||
| * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | ||
| + | * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. | ||
| Die Integration weiterer Scripts ist in Planung. | Die Integration weiterer Scripts ist in Planung. | ||
| Zeile 831: | Zeile 832: | ||
| Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | ||
| + | **Individuelle Zertifikate** | ||
| + | |||
| + | Werden weitere individuelle Server- oder Client-Zertifikate, so ist dies direkt mit dem Kommando ''easy-rsa'' möglich. | ||
| + | |||
| + | //**Hinweis:** Dabei ist zu beachten, dass Googles Chrome-Browser inzwischen verlangt, dass Server-Zertifikate das Attribut SubjectAltNames enthalten. Ohne dieses Attribut erfolgt immer eine Zertifikatswarnung.// | ||
| + | |||
| + | Ein Beispiel für ein Server-Zertifikat: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # easyrsa --subject-alt-name="DNS:host.example.loc" build-server-full host.example.loc nopass | ||
| + | </code> | ||
| + | |||
| + | Die Option "nopass" am Ende des Kommandos sorgt dafür, dass der private Schlüssel seinerseits nicht mit einem Passwort verschlüsselt wird. Im Falle von Server-Zertifikaten erleichtert das den Umgang damit, da dem Server-Dienst ansonsten immer das Passwort mitgegeben werden müsste. Bei vielen Diensten ist dies gar nicht möglich. | ||
| + | |||
| + | Beispiel für ein Client-Zertifikat: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # easyrsa --subject-alt-name="DNS:host.pe.loc" build-client-full host.pe.loc nopass | ||
| + | </code> | ||
| + | |||
| + | Zum Erstellen von Zertifikaten wird immer das Passwort des privaten CA-Schlüssels benötigt. | ||
| + | |||
| + | Neue Zertifikate werden in: <file>/etc/easy-rsa/example.loc/issued</file> und die zugehörigen privaten Schlüssel in: <file>/etc/easy-rsa/example.loc/private</file> abgelegt. | ||
| + | |||
| + | **PKCS#12** | ||
| + | |||
| + | Werden Schlüsselpaare in PKCS12-Containerformat benötigt, können diese nach Erstellung der Schlüsselpaare als solche exportiert werden: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # easyrsa export-p12 host.example.loc | ||
| + | </code> | ||
| + | |||
| + | Dabei fragt das Kommando nach einem Export-Passwort. Soll die p12-Datei nicht Passwort-verschlüsselt werden, kann die Passworteingabe durch einfaches Drücken der Enter-Taste quittiert werden. | ||
| + | |||
| + | Zu finden sind die erstellten p12-Dateien in: <file>/etc/easy-rsa/example.loc/private</file> | ||
| + | |||
| + | **Öffentlichen Schlüssel extrahieren** | ||
| + | |||
| + | <code> | ||
| + | server14:~ # openssl x509 -in hostname.crt -noout -pubkey > hostname-public.pem | ||
| + | </code> | ||
| === Zertifikate von Let's Encrypt (ab invis Version 12.1) === | === Zertifikate von Let's Encrypt (ab invis Version 12.1) === | ||