OpenVPN-CA: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Yanosz (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Yanosz (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 2: | Zeile 2: | ||
Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. [[Netzwerk-Konfiguration]]). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Dabei gilt: | Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. [[Netzwerk-Konfiguration]]). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Dabei gilt: | ||
# Jeder AP kann Zeritifikat, Key und CA-Zertifikat über http(s) herunterladen -- Die CA hat eine Webservice-Schnittstelle | |||
# Die CA speichert alle erstellten Zertifikate in einer relationalen Datenbank (derzeit MySQL) | |||
# Jeder AP wird mit der MAC-Adresse seines 1. Wireless-Lan Interfaces identifiziert. Sie wird als Common-Name (CN) im Zertifikat verwendet. Dies ermöglicht eine (hoffentlich) eindeutige Identifizierung aller Nodes | |||
# Über die MAC-Adresse können bei Störungen betroffene Nodes (hoffentlich) identifiziert werden. Im Extremfall wäre es sogar denkbar, einzelne Node-Verbände vom Netz zu trennen, wenn durch sie die Gesamtintegrität des Netzes gefährdet wird | |||
# Denkbar ist auch Teilneher-Zertifikate zu sperren, die das Freifunk-KBU-VPN als günstiges Anonmysiser-VPN missbrauchen. (Wollen wir das wirklich machen? Problem hierbei: Erkennen, richtig bewerten) | |||
Version vom 17. Juni 2011, 22:42 Uhr
Achtung: Work-in-progress --Yanosz 20:33, 17. Jun. 2011 (UTC)
Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. Netzwerk-Konfiguration). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Dabei gilt:
- Jeder AP kann Zeritifikat, Key und CA-Zertifikat über http(s) herunterladen -- Die CA hat eine Webservice-Schnittstelle
- Die CA speichert alle erstellten Zertifikate in einer relationalen Datenbank (derzeit MySQL)
- Jeder AP wird mit der MAC-Adresse seines 1. Wireless-Lan Interfaces identifiziert. Sie wird als Common-Name (CN) im Zertifikat verwendet. Dies ermöglicht eine (hoffentlich) eindeutige Identifizierung aller Nodes
- Über die MAC-Adresse können bei Störungen betroffene Nodes (hoffentlich) identifiziert werden. Im Extremfall wäre es sogar denkbar, einzelne Node-Verbände vom Netz zu trennen, wenn durch sie die Gesamtintegrität des Netzes gefährdet wird
- Denkbar ist auch Teilneher-Zertifikate zu sperren, die das Freifunk-KBU-VPN als günstiges Anonmysiser-VPN missbrauchen. (Wollen wir das wirklich machen? Problem hierbei: Erkennen, richtig bewerten)