Aktualisierung Opennet Nutzer-Zertifikat: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(zusammengefasst und umformuliert)
 
(9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Diese Seite beschreibt, wie du als Opennet-Nutzer das Zertifikat auf deinem Accesspoint (AP) erneuern kannst (Was? Warum? — siehe [[#Einleitung|Einleitung]]).
+
Diese Seite beschreibt, wie du als Opennet-Nutzer das Zertifikat auf deinem Accesspoint (AP) erneuern kannst.
  
 
Das ist einfach, da dich dein AP dabei unterstützt.
 
Das ist einfach, da dich dein AP dabei unterstützt.
Zeile 7: Zeile 7:
  
 
= Einleitung =
 
= Einleitung =
Für den Internetzugriff über das Opennet braucht jeder Nutzer (richtiger: jeder Accesspoint, über den der Netzzugriff erfolgt) ein gültiges Zertifikat.
+
Für den Zugang zum Internet über das Opennet benötigt jeder Nutzer (richtiger: jeder Accesspoint (AP), über den der Netzzugriff erfolgt) ein gültiges Zertifikat.
 
Das Zertifikat wird benötigt, um den Nutzer (bzw. dessen Accesspoint) im Opennet als den Nutzer zu identifizieren, der er zu sein angibt.
 
Das Zertifikat wird benötigt, um den Nutzer (bzw. dessen Accesspoint) im Opennet als den Nutzer zu identifizieren, der er zu sein angibt.
Auf Grundlage des Zertifikats wird eine vertrauenswürdige Verbindung (ein Virtuelles privates Netzwerk, VPN) zwischen dem Nutzer-Accesspoint und einem Opennet-Server aufgebaut.
+
Auf Grundlage des Zertifikats wird eine vertrauenswürdige Verbindung (ein virtuelles privates Netzwerk, VPN) zwischen dem Nutzer-Accesspoint und einem Opennet-Server aufgebaut.
  
Diese Zertifikate haben eine begrenzte Gültigkeit.
+
Diese Zertifikate haben eine zeitlich begrenzte Gültigkeit - typischerweise mehrere Jahre. Die Zertifikate von ausgetretenen Mitglieder werden widerrufen - sie verlieren also ihre Gültigkeit.
(Die Gültigkeit wird durch ein im Zertifikat enthaltenen Ablaufdatum und durch die Gültigkeit übergeordneter Zertifikate begrenzt.)
+
Die begrenzte Gültigkeit hat zur Folge, dass Zertifikate von Zeit zu Zeit erneuert werden müssen.
+
  
Die folgenden Schritte beschreiben ein Vorgehen das bei den meisten APs funktionieren sollte.
+
Die folgenden Schritte beschreiben ein Vorgehen das auf den meisten APs funktionieren sollte.
Sollte eine nachfolgend genannte Funktion nicht auffindbar oder klickbar sein, beschreibe das Problem in einer E-Mail an crew@list.opennet-initiative.de
+
Sollte eine nachfolgend genannte Funktion nicht auffindbar oder klickbar sein, dann beschreibe das Problem in einer E-Mail an die [https://list.opennet-initiative.de/mailman/listinfo/crew crew-Mailingliste] ([mailto:crew@opennet-initiative.de crew@opennet-initiative.de]). Wir helfen gerne bei jeder Schwierigkeit, die sich hierbei für dich ergeben sollte.
Wir helfen gerne bei jeder Schwierigkeit, die sich hierbei für dich ergeben kann.
+
  
 
= Anleitung =
 
= Anleitung =
Zeile 23: Zeile 20:
 
Bevor man beginnt, sollte man wissen, welche Nummer der Access-Point (AP) hat.
 
Bevor man beginnt, sollte man wissen, welche Nummer der Access-Point (AP) hat.
  
Im Opennet lauten AP IP-Adressen entweder <code>192.168.1.xxx</code> oder <code>192.168.2.xxx</code>, wobei 1.xxx bzw. 2.xxx deine AP-Nummer ist.
+
Im Opennet lauten die IP-Adressen von Accesspoints entweder <code>192.168.1.X</code>, <code>192.168.2.X</code> oder <code>192.168.3.X</code>, wobei <code>1.X</code>, <code>2.X</code> bzw. <code>3.X</code> deine AP-Nummer ist.
  
 +
== Schritt 1: Zertifikatsregistrierungsanforderung (CSR) erzeugen ==
  
== Schritt 1: Altes Zertifikat löschen ==
+
# In der Adresszeile des Internet-Browsers die IP-Adresse des AP eingeben (es öffnet sich die Web-Oberfläche des AP): <code>http://172.16.0.1</code> oder <code>http://192.168.1.X</code>, <code>http://192.168.2.X</code> bzw. <code>http://192.168.3.X</code>
 +
# Auf ''Basis'' (Tab oben) klicken.
 +
# Deine Anmeldedaten für das Login verwenden.
 +
# Auf ''VPN-Tunnel'' (oben links) klicken.
 +
# Auf der angezeigten Seite im untersten Block ''Schlüssel Erzeugung'' auf ''...anzeigen...'' klicken.
 +
# Im Block ''Schlüssel Erzeugung'' die fehlenden Felder des Formulars ausfüllen:
 +
## ''Dein Name'': der vollständige Namen des Vereinsmitglieds, das den Accesspoint betreibt
 +
## ''Deine E-Mail Adresse'': die E-Mail-Adresse des AP-Betreibers. An diese E-Mail-Adresse wird im übernächsten Schritt das Zertifikat verschickt. Bitte eine aktuelle Adresse eintragen, unter der man auch für spätere Rückfragen erreichbar ist.
 +
# Auf ''erzeuge Schlüssel'' klicken.
  
Auf älteren Geräten muss vorab das vorhandene Zertifikat gelöscht werden. Dies kann im Rahmen von Schritt 2 erfolgen und ist in der Web-Oberfläche erläutert.
+
== Schritt 2: Zertifikatsregistrierungsanforderung hochladen ==
 
+
=== Variante 1: halb-automatisches Hochladen ===
Für Versierte: Das alte Zertifikat kann man auch manuell löschen, indem man sich via SSH auf dem AP einloggt und die richtigen Dateien löscht (oder sicherheitshalber nur umbenennt).
+
# Auf ''Hochladen'' klicken
 
+
# Das erfolgreiche Hochladen wird bestätigt.
== Schritt 2: Zertifikatsanfrage (CSR) erzeugen ==
+
 
+
# In der Adresszeile des Internet-Browsers die IP-Adresse des AP eingeben (es öffnet sich die Web-Oberfläche des AP).
+
# Auf ''Basis'' (Tab oben) klicken.
+
# Auf ''VPN-Tunnel'' klicken.
+
# Auf der angezeigten Seite im untersten Block ''Schlüssel Erzeugung'':
+
#* Die meisten Daten sollten schon eingetragen sein (falls nicht, dann so):
+
#** Land=de
+
#** Bundesland=Mecklenburg-Vorpommern
+
#** Ort=Rostock
+
#** Organisations-Einheit=users
+
#** Zertifikat-Name=<AP-Nummer>.aps.on (entweder 1.xxx.aps.on oder 2.xxx.aps.on)
+
#* Bei ''Dein Name'' soll der Mitgliedsname von demjenigen eingetragen werden, der für die aktive Mitgliedschaft zahlt.
+
#* Bei ''Deine EMail Adresse'' die eigene E-Mail-Adresse eintragen. Über diese Adresse erhält man im übernächsten Schritt das Zertifikat. Bitte eine aktuelle Adresse eintragen, unter der man auch für spätere Rückfragen erreichbar ist.
+
#* Auf ''erzeuge Schlüssel'' klicken.
+
# Die Zertifikatsanfrage (CSR) kann nur als Datei auf dem eigenen Rechner gespeichert werden.
+
  
== Schritt 3: Zertifikatsregistrierungsanforderung hochladen ==
+
=== Variante 2: manuelles Hochladen ===
# Auf https://ca.opennet-initiative.de/csr/ gehen.
+
# Unter ''Status Schüssel/Zertifikat'' rechts bei ''Zertifikatanfrage (.csr)'' auf ''herunterladen'' klicken und die Datei auf dem eigenen Computer speichern.
 +
# https://ca.opennet-initiative.de/csr/ besuchen.
 
# Sollte ''Dieser Verbindung wird nicht vertraut'' oder ähnliches angezeigt werden, auf ''Ausnahmen hinzufügen'' und ''Sicherheitsausnahmeregel bestätigen'' o.ä. klicken.
 
# Sollte ''Dieser Verbindung wird nicht vertraut'' oder ähnliches angezeigt werden, auf ''Ausnahmen hinzufügen'' und ''Sicherheitsausnahmeregel bestätigen'' o.ä. klicken.
 
# Auf ''Durchsuchen'' klicken und im erscheinenden Fenster die CSR-Datei aus Schritt 2 auswählen und ''öffnen''.
 
# Auf ''Durchsuchen'' klicken und im erscheinenden Fenster die CSR-Datei aus Schritt 2 auswählen und ''öffnen''.
Zeile 57: Zeile 48:
 
# Auf '' Submit/Übertragen'' klicken.
 
# Auf '' Submit/Übertragen'' klicken.
  
== Schritt 4: E-Mail abwarten ==
+
== Schritt 3: E-Mail abwarten ==
# E-Mails abrufen.
+
# Von Zeit zu Zeit das eigene E-Mail-Postfach abrufen. Die Zertifikat-Ausstellung erfordert das Handeln eines Mitglieds der [[Opennet CA|CA-Gruppe]]. Falls du nach einem Tag keine Antwort erhalten haben solltest, dann schreib ihnen vielleicht eine E-Mail (siehe ''Kontakt'' auf der [[Opennet CA|CA-Gruppen-Seite]]).
# Zertifikat aus dem Anhang der von Opennet erhaltenen E-Mail auf dem Rechner abspeichern.
+
# Zertifikat (.crt-Datei) aus dem Anhang der von Opennet erhaltenen E-Mail auf deinem Rechner abspeichern.
  
== Schritt 5: Zertifikat auf den AP laden ==
+
== Schritt 4: Zertifikat auf den AP laden ==
# Wieder auf dem Access-Point per Browser anmelden und unter "Schlüssel Verwaltung" die erhaltene Datei hochladen.
+
# Auf der Web-Oberfläche zur Seite ''VPN-Tunnel'' gehen
 +
# Auf der angezeigten Seite im Block ''Schlüssel Verwaltung'' auf ''Durchsuchen...'' klicken und im Datei-Dialog die .crt-Datei aus Schritt 3 auswählen.
 +
# Nach wenigen Minuten sollte der Accesspoint eine VPN-Verbindung aufgebaut haben, die dir den Weg ins Internet ermöglicht.

Aktuelle Version vom 28. Januar 2018, 01:46 Uhr

Diese Seite beschreibt, wie du als Opennet-Nutzer das Zertifikat auf deinem Accesspoint (AP) erneuern kannst.

Das ist einfach, da dich dein AP dabei unterstützt. Wenn du wenig Zeit hast, kannst du bei Anleitung weiterlesen.

Inhaltsverzeichnis


[Bearbeiten] Einleitung

Für den Zugang zum Internet über das Opennet benötigt jeder Nutzer (richtiger: jeder Accesspoint (AP), über den der Netzzugriff erfolgt) ein gültiges Zertifikat. Das Zertifikat wird benötigt, um den Nutzer (bzw. dessen Accesspoint) im Opennet als den Nutzer zu identifizieren, der er zu sein angibt. Auf Grundlage des Zertifikats wird eine vertrauenswürdige Verbindung (ein virtuelles privates Netzwerk, VPN) zwischen dem Nutzer-Accesspoint und einem Opennet-Server aufgebaut.

Diese Zertifikate haben eine zeitlich begrenzte Gültigkeit - typischerweise mehrere Jahre. Die Zertifikate von ausgetretenen Mitglieder werden widerrufen - sie verlieren also ihre Gültigkeit.

Die folgenden Schritte beschreiben ein Vorgehen das auf den meisten APs funktionieren sollte. Sollte eine nachfolgend genannte Funktion nicht auffindbar oder klickbar sein, dann beschreibe das Problem in einer E-Mail an die crew-Mailingliste (crew@opennet-initiative.de). Wir helfen gerne bei jeder Schwierigkeit, die sich hierbei für dich ergeben sollte.

[Bearbeiten] Anleitung

Bevor man beginnt, sollte man wissen, welche Nummer der Access-Point (AP) hat.

Im Opennet lauten die IP-Adressen von Accesspoints entweder 192.168.1.X, 192.168.2.X oder 192.168.3.X, wobei 1.X, 2.X bzw. 3.X deine AP-Nummer ist.

[Bearbeiten] Schritt 1: Zertifikatsregistrierungsanforderung (CSR) erzeugen

  1. In der Adresszeile des Internet-Browsers die IP-Adresse des AP eingeben (es öffnet sich die Web-Oberfläche des AP): http://172.16.0.1 oder http://192.168.1.X, http://192.168.2.X bzw. http://192.168.3.X
  2. Auf Basis (Tab oben) klicken.
  3. Deine Anmeldedaten für das Login verwenden.
  4. Auf VPN-Tunnel (oben links) klicken.
  5. Auf der angezeigten Seite im untersten Block Schlüssel Erzeugung auf ...anzeigen... klicken.
  6. Im Block Schlüssel Erzeugung die fehlenden Felder des Formulars ausfüllen:
    1. Dein Name: der vollständige Namen des Vereinsmitglieds, das den Accesspoint betreibt
    2. Deine E-Mail Adresse: die E-Mail-Adresse des AP-Betreibers. An diese E-Mail-Adresse wird im übernächsten Schritt das Zertifikat verschickt. Bitte eine aktuelle Adresse eintragen, unter der man auch für spätere Rückfragen erreichbar ist.
  7. Auf erzeuge Schlüssel klicken.

[Bearbeiten] Schritt 2: Zertifikatsregistrierungsanforderung hochladen

[Bearbeiten] Variante 1: halb-automatisches Hochladen

  1. Auf Hochladen klicken
  2. Das erfolgreiche Hochladen wird bestätigt.

[Bearbeiten] Variante 2: manuelles Hochladen

  1. Unter Status Schüssel/Zertifikat rechts bei Zertifikatanfrage (.csr) auf herunterladen klicken und die Datei auf dem eigenen Computer speichern.
  2. https://ca.opennet-initiative.de/csr/ besuchen.
  3. Sollte Dieser Verbindung wird nicht vertraut oder ähnliches angezeigt werden, auf Ausnahmen hinzufügen und Sicherheitsausnahmeregel bestätigen o.ä. klicken.
  4. Auf Durchsuchen klicken und im erscheinenden Fenster die CSR-Datei aus Schritt 2 auswählen und öffnen.
  5. Bei Advisor/Betreuer den eigenen Namen eintragen, falls man diesen Vorgang für jemand anderen ausführt.
  6. Bei CC E-Mail die eigene E-Mail-Adresse eintragen, falls man diesen Vorgang für jemand anderen ausführt. Falls angegeben, geht das Zertifikat nicht nur an die Kontakt-Adresse (siehe Schritt 2), sondern auch an die hier angegebene Adresse.
  7. Auf Submit/Übertragen klicken.

[Bearbeiten] Schritt 3: E-Mail abwarten

  1. Von Zeit zu Zeit das eigene E-Mail-Postfach abrufen. Die Zertifikat-Ausstellung erfordert das Handeln eines Mitglieds der CA-Gruppe. Falls du nach einem Tag keine Antwort erhalten haben solltest, dann schreib ihnen vielleicht eine E-Mail (siehe Kontakt auf der CA-Gruppen-Seite).
  2. Zertifikat (.crt-Datei) aus dem Anhang der von Opennet erhaltenen E-Mail auf deinem Rechner abspeichern.

[Bearbeiten] Schritt 4: Zertifikat auf den AP laden

  1. Auf der Web-Oberfläche zur Seite VPN-Tunnel gehen
  2. Auf der angezeigten Seite im Block Schlüssel Verwaltung auf Durchsuchen... klicken und im Datei-Dialog die .crt-Datei aus Schritt 3 auswählen.
  3. Nach wenigen Minuten sollte der Accesspoint eine VPN-Verbindung aufgebaut haben, die dir den Weg ins Internet ermöglicht.
Von „http://wiki.opennet-initiative.de/w/index.php?title=Aktualisierung_Opennet_Nutzer-Zertifikat&oldid=32130
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge