Es steht zwar schon an vielen Stellen im Netz, aber so brauche ich nicht immer neu zu suchen :). Zertifikate sind zwar etwas komplizierter als Geheime Schl\u00fcssel, sind aber auch sicherer und an einigen Stellen dann doch wieder arbeitserleichternd. Vorraussetzung\u00a0ist das openssl Paket.<\/p>\n
<\/p>\n
Der Beginn ist immer die CA (Certification Authority), diese kann nat\u00fcrlich extern und offiziell sein, hier geht es aber nur um die kleine L\u00f6sung vollst\u00e4ndig in eigener Verantwortung und ohne Kosten. Am einfachsten geht dies mit dem CA.sh Skript, dieses muss allerdings unter Umst\u00e4nden bearbeitet werden, wenn einem die Vorgaben nicht gefallen, z.B. die Lebensdauer der CA. In der \/etc\/ssl\/openssl.cnf kann die Lebensdauer der Endger\u00e4tezertifikate eingetragen werden, au\u00dferdem sollte hier die Anzahl der Bits des Schl\u00fcssels von 1024 auf 2048 gesetzt werden und vor allem stateOrProvinceName von mandatory auf optional gesetzt werden sowie\u00a0der Vorgabetext von\u00a0stateOrProvinceName_default gel\u00f6scht werden. Dann kann die selbstunterschriebene\u00a0 CA erzeugt werden (es werden diverse Fragen gestellt, das Passwort nat\u00fcrlich gut und sicher irgendwo in den Safe):<\/p>\n
\r\n\/usr\/lib\/ssl\/misc\/CA.sh -newca<\/pre>\nDies legt bei Standardeinstellungen in .\/demoCA eine Datei cacert.pem sowie careq.pem \u00a0an.<\/p>\n
Als n\u00e4chstes wird ein Zertifikat f\u00fcr den Zugansrechner\u00a0erstellt:<\/p>\n
\r\n\/usr\/lib\/ssl\/misc\/CA.sh -newreq<\/pre>\nDieses kann dann mit dem CA-Zertifikat unterschrieben werden:<\/p>\n
\r\n\/usr\/lib\/ssl\/misc\/CA.sh -sign<\/pre>\nNun werden\u00a0 der \u00f6ffentliche Schl\u00fcssel der CA und privater und \u00f6ffentlicher Schl\u00fcssel unter sinnvollem Namen an den richtigen Platz im IPSec Konfigurationsverzeichnis gelegt. Das Verzeichnis demoCA ist wichtig! In der index.txt stehen z.B. die\u00a0fortlaufenden Zertifikate.<\/p>\n
mv newcert.pem meinname.pem\r\nmv newreq.pem meinname.key<\/pre>\ncp demoCA\/cacert.pem meineca.pem\r\n\r\ncp meinname.pem \/etc\/ipsec.d\/certs\r\ncp meinname.key \/etc\/ipsec.d\/private\r\ncp meineca.pem\u00a0\/etc\/ipsec.d\/cacerts<\/pre>\n","protected":false},"excerpt":{"rendered":"Es steht zwar schon an vielen Stellen im Netz, aber so brauche ich nicht immer neu zu suchen :). Zertifikate sind zwar etwas komplizierter als Geheime Schl\u00fcssel, sind aber auch sicherer und an einigen Stellen dann doch wieder arbeitserleichternd. Vorraussetzung\u00a0ist das openssl Paket.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-10","post","type-post","status-publish","format-standard","hentry","category-netzwerk"],"_links":{"self":[{"href":"https:\/\/eibo.eu\/index.php?rest_route=\/wp\/v2\/posts\/10","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eibo.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eibo.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eibo.eu\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/eibo.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=10"}],"version-history":[{"count":0,"href":"https:\/\/eibo.eu\/index.php?rest_route=\/wp\/v2\/posts\/10\/revisions"}],"wp:attachment":[{"href":"https:\/\/eibo.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=10"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eibo.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=10"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eibo.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=10"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}