OpenVPN und OpenSSL PKI

[Christian Ordig]

Hallo Leute,

ich bin wie's aussieht demnaechst gezwungen auf OpenVPN 2 umzusteigen, 
obwohl ich den Schritt eigentlich nicht machen wollte solange das Teil 
in der Beta-Phase ist. (aber das ploetzliche nicht mehr funktionieren 
des TAP32-Treibers unter WinXP SP2 scheint mich dazu zu zwingen).

Soweit ich das bisher gesehen habe, unterstuetzt OpenVPN 2.x keine 
"pre-shared secrets" mehr, und ich muesste auf eine PKI-Loesung 
umsteigen. Gibt es zu dem Thema irgendwo ein brauchbares HowTo, oder 
sowas?

Soweit ich das bisher verstanden habe:
ich errichte meine eigene CA. (oeffentlicher+privater CA-Schluessel)
Jeder Rechner generiert sich ein Schluesselpaar bestehend aus 
oeffentlichem+privatem Schluessel (Zertifikat+Key). 
Entweder man erstellt die Schluessel der Nutzer auch auf dem Rechner, 
wo der private CA-Schluessel liegt, und signiert sie (die Zertifikate) 
gleich dort, oder der Nutzer muss ein "Certificate Signing Request" 
generieren und an den Rechner wo der private CA-Key drauf liegt 
schicken, und erhaelt dann ein signiertes Zertifikat von dort.
Ich kann jederzeit einen vormals signierten Schluessel "revoken" und 
damit als ungueltig markieren.

Auf dem OpenVPN-Server wird nun jeder Rechner akzeptiert dessen 
Zertifikat mit dem CA-Schluessel signiert ist, und der nicht in der CRL 
gelistet ist.

Soweit so gut?
Hab ich das soweit richtig verstanden, oder hab ich was gravierendes 
uebersehen?
Gibt es brauchbare Tools, um diese CA-Aufgaben zu managen? Irgendwann 
stell ich es mir recht umstaendlich/unuebersichtlich vor.
Zielsystem wird wohl leider WinXP werden :-(

Die Doku, die dazu auf der OpenVPN-Seite verfuegbar ist, hab ich schon 
mehrfach gelesen.

Danke fuer Eure Tips.
-- 
Christian Ordig
Germany
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 187 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20040915/c3be676d/attachment.sig>