Opennet CA: Unterschied zwischen den Versionen
Aus Opennet
JanC (Diskussion | Beiträge) (→Linux) |
JanC (Diskussion | Beiträge) K (→Erstellen sub-CA (intermediate-CA)) |
||
| Zeile 11: | Zeile 11: | ||
* Erstellen des sub-CA keys und der zugehörigen Zertifikataanfrage (.csr) mit | * Erstellen des sub-CA keys und der zugehörigen Zertifikataanfrage (.csr) mit | ||
| − | openssl req -days 3650 -nodes -new -keyout <name>-opennet-intermediate-CA.key -out <name>-opennet-intermediate-CA.csr | + | openssl req -days 3650 -nodes -new -keyout <name>-opennet-intermediate-CA.key -out <name>-opennet-intermediate-CA.csr |
| − | <Pfad der opennet openssl.cnf> -extensions v3_ca | + | -config <Pfad der opennet openssl.cnf> -extensions v3_ca |
Der Key und die csr landen im aktuellen Verzeichnis | Der Key und die csr landen im aktuellen Verzeichnis | ||
| Zeile 34: | Zeile 34: | ||
* echo "openssl ca -config /etc/openvpn/auth/opennet/openssl.cnf -days 3650 -in csrs $1.csr -out certs $1.crt" >> sign.sh | * echo "openssl ca -config /etc/openvpn/auth/opennet/openssl.cnf -days 3650 -in csrs $1.csr -out certs $1.crt" >> sign.sh | ||
'''Die sub-CA sollte nun einsatzbereit sein''' | '''Die sub-CA sollte nun einsatzbereit sein''' | ||
| + | |||
| + | ===Windows=== | ||
| + | |||
| + | sinngemäß wie oben, Windowsnutzer bitte ewt ergänzen | ||
| + | |||
=== Signieren=== | === Signieren=== | ||
Version vom 1. August 2006, 23:08 Uhr
Inhaltsverzeichnis |
Erstellen sub-CA (intermediate-CA)
Linux
Für die Erstellung einer sub-CA wird eine vorhandene Openssl Installation benötigt. Bei einer vorhandenen OpenVPN Installation ist Openssl automatich mit installiert.
- Bei Bedarf OpenVPN oder Openssl installieren (ggf Rootrechte nötig)
- Opennet openssl.cnf besorgen
- Erstellen des sub-CA keys und der zugehörigen Zertifikataanfrage (.csr) mit
openssl req -days 3650 -nodes -new -keyout <name>-opennet-intermediate-CA.key -out <name>-opennet-intermediate-CA.csr -config <Pfad der opennet openssl.cnf> -extensions v3_ca
Der Key und die csr landen im aktuellen Verzeichnis
- Die csr durch die Opennet Admins signieren lassen
- der reine crt Teil des Zertifikats muss dem ca.crt auf allen GWs angefügt werden
- der Pubkey(der pubkey für ssh) muss für den Benutzer opennetca@ratte.informatik.uni-rostock.de (139.30.3.52) hinzugefügt werden
- Ein Hauptverzeichnis für die sub-CA wählen und ggf erstellen , als Beispiel wird /openssl gewählt (Variabele dir in der opennet.cnf)
- dem Verzeichnis nur minimale Rechte geben chmod 700 /openssl
- alle weiteren Pfadangaben beziehen sich auf das eben gewählte Verzeichnis
- Verzeichnis CA erstellen und minimale Rechte setzen mkdir CA ; chmod 700 CA
- Datei index.txt mit touch index.txt anlegen
- Datei serial mit echo "00" >serial anlegen
- Verzeichnis certs anlegen
- Verzeichnis csrs anlegen
- Verzeichnis crls anlegen
- Den Schlüssel und das Zertifikat der sub-CA in das Hauptverzeichnis kopieren und bei beiden die Rechte auf 400 setzen
- die openssl.cnf ebenfalls ins Hauptverzeichnis kopieren
- die Configdatei openssl.cnf an die aktuelle Konfiguration anpassen (Pfade)
- Script sign.sh anlegen und Rechte auf 700 setzen
- echo "#!/bin/sh" >> sign.sh
- echo "openssl ca -config /etc/openvpn/auth/opennet/openssl.cnf -days 3650 -in csrs $1.csr -out certs $1.crt" >> sign.sh
Die sub-CA sollte nun einsatzbereit sein
Windows
sinngemäß wie oben, Windowsnutzer bitte ewt ergänzen
Signieren
- die Zertifikatsanfrage in den Ordner csrs kopieren
- das Script mit dem Namen des zu signierenden .csr als Parameter starten (ohne die Endung .csr)
- Die zu signierende csr sorgfälltig überprüfen, ob aktives Mitglid und AP Nummer stimmig
- Zertifikat durch touch freischalten user: opennetca 139.30.3.52 (bzw s.o)
- Zertifikat an den Absender des CSRs schicken, Kopie an die csr Liste
