OpenVPN-CA: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Yanosz (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Yanosz (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
'''Achtung: Work-in-progress''' --[[Benutzer:Yanosz|Yanosz]] 20:33, 17. Jun. 2011 (UTC) | '''Achtung: Work-in-progress''' --[[Benutzer:Yanosz|Yanosz]] 20:33, 17. Jun. 2011 (UTC) | ||
Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. [[Netzwerk-Konfiguration]]). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. | Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. [[Netzwerk-Konfiguration]]). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Die CA arbeitet dabei wie folgt: | ||
* Jeder AP kann Zeritifikat, Key und CA-Zertifikat über http(s) herunterladen -- Die CA hat eine Webservice-Schnittstelle | |||
* Die CA speichert alle erstellten Zertifikate in einer relationalen Datenbank (derzeit MySQL) | |||
* Jeder AP wird mit der MAC-Adresse seines 1. Wireless-Lan Interfaces identifiziert. Sie wird als Common-Name (CN) im Zertifikat verwendet. Dies ermöglicht eine (hoffentlich) eindeutige Identifizierung aller Nodes | |||
* Über die MAC-Adresse können bei Störungen betroffene Nodes (hoffentlich) identifiziert werden. Im Extremfall wäre es sogar denkbar, einzelne Node-Verbände vom Netz zu trennen, wenn durch sie die Gesamtintegrität des Netzes gefährdet wird | |||
* Denkbar ist auch Teilneher-Zertifikate zu sperren, die das Freifunk-KBU-VPN als günstiges Anonmysiser-VPN missbrauchen. (Wollen wir das wirklich machen? Problem hierbei: Erkennen, richtig bewerten) |
Version vom 17. Juni 2011, 21:41 Uhr
Achtung: Work-in-progress --Yanosz 20:33, 17. Jun. 2011 (UTC)
Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. Netzwerk-Konfiguration). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Die CA arbeitet dabei wie folgt:
- Jeder AP kann Zeritifikat, Key und CA-Zertifikat über http(s) herunterladen -- Die CA hat eine Webservice-Schnittstelle
- Die CA speichert alle erstellten Zertifikate in einer relationalen Datenbank (derzeit MySQL)
- Jeder AP wird mit der MAC-Adresse seines 1. Wireless-Lan Interfaces identifiziert. Sie wird als Common-Name (CN) im Zertifikat verwendet. Dies ermöglicht eine (hoffentlich) eindeutige Identifizierung aller Nodes
- Über die MAC-Adresse können bei Störungen betroffene Nodes (hoffentlich) identifiziert werden. Im Extremfall wäre es sogar denkbar, einzelne Node-Verbände vom Netz zu trennen, wenn durch sie die Gesamtintegrität des Netzes gefährdet wird
- Denkbar ist auch Teilneher-Zertifikate zu sperren, die das Freifunk-KBU-VPN als günstiges Anonmysiser-VPN missbrauchen. (Wollen wir das wirklich machen? Problem hierbei: Erkennen, richtig bewerten)