OpenVPN und OpenSSL PKI

[Michael Meer]

On Wed, 2004-09-15 at 01:59, Christian Ordig wrote:

> Soweit ich das bisher gesehen habe, unterstuetzt OpenVPN 2.x keine 
> "pre-shared secrets" mehr, und ich muesste auf eine PKI-Loesung 
> umsteigen. Gibt es zu dem Thema irgendwo ein brauchbares HowTo, oder 
> sowas?
> 
> Soweit ich das bisher verstanden habe:
> ich errichte meine eigene CA. (oeffentlicher+privater CA-Schluessel)
> Jeder Rechner generiert sich ein Schluesselpaar bestehend aus 
> oeffentlichem+privatem Schluessel (Zertifikat+Key). 

Hmmm - Öffentlicher User Schlüssel und Privater User Schlüssel 
ist richtiger. 
Dann generiert der User mit seinem Schlüsselpaar einen
Zertifikatsrequest. Dieser wird dann zur zur CA geschickt und die macht
dann ein Zertifikat daraus (beinhaltet den öffentlichen Schlüssel des
VPN-Device und die Unterschrift der CA).

Die CA selbst hat normal auch ein Zertifikat (enhält den öffentlichen
Schlüssel und die Signatur der CA selbst). Wird manchmal auch händisch
als erstes auf das VPN-Device aufgespielt um die Vertrauenswürdigkeit
der CA sicherzustellen.

CRL und alle Zertifikate werden entweder über einen Webserver oder über
das SCEP-Protokoll allgemein verfügbar gemacht.

Nach dem Ablauf der ISAKMP Lifetime sollte normal jedes VPN-Device
die CRL überprüfen. 
Bei einer Erstverbindung zwischen zwei VPN-Devices laden diese dann
das Zertifikat über SCEP oder http (da öffentlich zugänglich) und
überprüfen diese dann mit den Signaturen der CA.

Soweit die allgemeine Theorie und ich hoffe, daß ich das jetzt nicht
durch einander gebracht habe.

-- 
Mit freundlichen Grüßen
Michael Meer

noch:
Heimeranplatz 5
80339 München

ab 1.10:
Konrad-Ernst-Strasse 10
33106 Paderborn Elsen