Server Installation/Opennet CA: Unterschied zwischen den Versionen
Aus Opennet
(→User u. Verzeichnisse) |
(→Config Files) |
||
Zeile 26: | Zeile 26: | ||
==== Config Files ==== | ==== Config Files ==== | ||
− | * OpenSSL Konfiguration: ''opennet-<ca-name>.ca.on_<year>.conf'' | + | * OpenSSL Konfiguration: ''opennet-<ca-name>.ca.on_<year>.conf'', notwendige Anpassungen: |
− | * CA Script Konfiguration: ''opennetca.cfg'' | + | [ opennetca ] |
− | + | dir = /home/opennetca/ca/<capath> | |
− | + | certificate = $dir/opennet-<caname>.crt | |
− | + | private_key = $dir/opennet-<caname>.key | |
− | + | [ opennetca_certsign ] | |
− | + | nsComment = Opennet <caname-text> CA | |
+ | nsCaRevocationUrl = http://ca.opennet-initiative.de/<caname>.crl | ||
+ | nsRevocationUrl = http://ca.opennet-initiative.de/<caname>.crl | ||
+ | [ opennetca_crl ] | ||
+ | fullname=URI:http://ca.opennet-initiative.de/<caname>.crl | ||
+ | |||
+ | * CA Script Konfiguration: ''opennetca.cfg'', notwendige Anpassungen: | ||
+ | # variables global | ||
+ | CA_CONFIG=opennet-<caname>.conf | ||
+ | # variables crl | ||
+ | CA_CRL=<caname> | ||
==== CA Scripts ==== | ==== CA Scripts ==== |
Version vom 1. Januar 2014, 19:25 Uhr
Software für Betrieb der Opennet CA.
Inhaltsverzeichnis |
User u. Verzeichnisse
- User "opennetca" mit Home /home/opennetca
- Webseiten unter /var/www/htdocs/ca.opennet-initiative.de/
- CA Verzeichnis einrichten:
mkdir cert mkdir crl mkdir csr mkdir .backup touch index.txt touch serial.txt cp <src>/README . cp <src>/opennetca.sh . cp <src>/opennetca.conf . cp <src>/sign.sh . cp <src>/revoke.sh . cp <src>/crl.sh . cp <src>/opennet-*.crt . cp <src>/opennet-*.key . cp <src>/opennet-*.conf . chown -R opennetca:opennetca * chmod 600 opennet-*.key
Config Files
- OpenSSL Konfiguration: opennet-<ca-name>.ca.on_<year>.conf, notwendige Anpassungen:
[ opennetca ] dir = /home/opennetca/ca/<capath> certificate = $dir/opennet-<caname>.crt private_key = $dir/opennet-<caname>.key [ opennetca_certsign ] nsComment = Opennet <caname-text> CA nsCaRevocationUrl = http://ca.opennet-initiative.de/<caname>.crl nsRevocationUrl = http://ca.opennet-initiative.de/<caname>.crl [ opennetca_crl ] fullname=URI:http://ca.opennet-initiative.de/<caname>.crl
- CA Script Konfiguration: opennetca.cfg, notwendige Anpassungen:
# variables global CA_CONFIG=opennet-<caname>.conf # variables crl CA_CRL=<caname>
CA Scripts
Download per Web: http://svn.opennet-initiative.de/listing.php?repname=on_opennetca
Checkout per SVN: svn checkout svn://svn.opennet-initiative.de/on_opennetca
- Opennet CA: opennetca.sh (Basisfunktionen, benötigt Konfiguration opennetca.conf)
- Zertifikate signieren: sign.sh (verwendet opennetca.sh sign Methode)
- Zertifikate zurückziehen: revoke.sh (verwendet opennetca.sh revoke Methode)
- CRL Liste erstellen: crl.sh (verwendet opennetca.sh crl Methode)
Diese Files für jede CA bereitstellen. Keine Anpassung notwendig.
Crontabs
Regelmäßige CRL Listen Erstellung und Bereitstellung am Beispiel für VPN-User Sub-CA:
# Opennet CA CRL Generator 15 1,13 * * * opennetca /home/opennetca/ca/vpnuser/crl.sh >/dev/null 25 1,13 * * * root cp /home/opennetca/ca/vpnuser/crl/*.crl /var/www/htdocs/ca.opennet-initiative.de/