Opennet CA
Inhaltsverzeichnis |
Erstellen sub-CA (intermediate-CA)
Linux
Für die Erstellung einer sub-CA wird eine vorhandene Openssl Installation benötigt. Bei einer vorhandenen OpenVPN Installation ist Openssl automatich mit installiert.
- Bei Bedarf OpenVPN oder Openssl installieren (ggf Rootrechte nötig)
- Opennet openssl.cnf besorgen
- Erstellen des sub-CA keys und der zugehörigen Zertifikataanfrage (.csr) mit
openssl req -days 3650 -nodes -new -keyout <name>-opennet-intermediate-CA.key -out <name>-opennet-intermediate-CA.csr -config <Pfad der opennet openssl.cnf> -extensions v3_ca
Der Key und die csr landen im aktuellen Verzeichnis
- Die csr durch die Opennet Admins signieren lassen
- der reine crt Teil des Zertifikats muss dem ca.crt auf allen GWs angefügt werden
- der Pubkey(der pubkey für ssh) muss für den Benutzer opennetca@ratte.informatik.uni-rostock.de (139.30.3.52)oder auch ratte.on-i.de hinzugefügt werden
- Ein Hauptverzeichnis für die sub-CA wählen und ggf erstellen , als Beispiel wird /openssl gewählt (Variabele dir in der opennet.cnf)
- dem Verzeichnis nur minimale Rechte geben chmod 700 /openssl
- alle weiteren Pfadangaben beziehen sich auf das eben gewählte Verzeichnis
- Verzeichnis CA erstellen und minimale Rechte setzen mkdir CA ; chmod 700 CA
- Datei index.txt mit touch index.txt anlegen
- Datei serial mit echo "00" >serial anlegen
- Verzeichnis certs anlegen
- Verzeichnis csrs anlegen
- Verzeichnis crls anlegen
- Den Schlüssel und das Zertifikat der sub-CA in das Hauptverzeichnis kopieren und bei beiden die Rechte auf 400 setzen
- die openssl.cnf ebenfalls ins Hauptverzeichnis kopieren
- die Configdatei openssl.cnf an die aktuelle Konfiguration anpassen (Pfade)
- Script sign.sh anlegen und Rechte auf 700 setzen
- echo "#!/bin/sh" >> sign.sh
- echo "openssl ca -config /etc/openvpn/auth/opennet/openssl.cnf -days 3650 -in csrs $1.csr -out certs $1.crt" >> sign.sh
Die sub-CA sollte nun einsatzbereit sein
Windows
sinngemäß wie oben, Windowsnutzer bitte evt. ergänzen
Signieren
- die Zertifikatsanfrage in den Ordner csrs kopieren
- das Script mit dem Namen des zu signierenden .csr als Parameter starten (ohne die Endung .csr)
- Die zu signierende csr sorgfälltig überprüfen, ob aktives Mitglid und AP Nummer stimmig
- Zertifikat durch touch freischalten user: opennetca 139.30.3.52 ratte.on-i.de (bzw s.o)
- Zertifikat an den Absender des CSRs schicken, Kopie an die csr Liste
Usergateway Zertifikat erstellen
- root Zugang auf Ruri nötig
- ins Verzeichnis /etc/ssl/ugw_ca/ wechseln
- Signieren wie oben, Freischaltung nicht nötig
- Zertifikat zurück an den Absender und an die Admin Liste
Standardtexte
CSR-Anfrage von Users außerhalb unseres Wirkungsbereiches
Vielen Dank für die Nachfrage. Jedoch erscheinst Du im Forum/Wiki des Opennet Rostock weder auf der Mitglider- noch auf der Interessentenliste. Wenn Du Interesse hast, Dich in den Aufbau und Betrieb eines Stadt-WLAN-Netzes einzubringen, melde Dich einfach an und werde Mitglied im Verein. Näheres findest Du unter
Hinweis: Die im/durch das Opennet-Rostock erstellten/zertifizierten Zertifikate sind außerhalb des Vereins völlig wertlos.