[Eisfair_dev] [e1] openVPN 1.0.0 erfolgreich getestet

Hans-Georg Kiefer hansgeorg at edv-einsteiger.de
Fr Sep 9 04:10:45 CEST 2016 

Am 08.09.2016 um 18:54 schrieb Olaf Jaehrling:
> Hallo Tanne,
>
> Hans-Georg Kiefer schrieb am 06.09.2016 um 14:34:
>
>>
>> 6. Edit Configuration -> und mit F10 gleich wieder raus. [Fehler]
>> "sed: can't read..." Meldungen wie gepostet.
>
> ok, danach kann ich suchen.
>>
>> 7. Verbindungstest [TLS Error: TLS handshake failed] <== logisch
>
> Warum logisch. Es sollte trotzdem gehen, da ja nichts gelöscht oder
> geändert wurde.

Weil ich den neuen Schlüssel noch nicht auf den Client kopiert hatte.

>>
>> Erneuer Aufruf der Konfig oder Systemneustart regulieren das nicht.
>
> Mist.

Oh ja. Hat aber wohl keine Auswirkung auf die Funktion.

>> Easy-RSA Administration -> 4. Client Konfiguration exportieren
>> Index  Status         Common Name
>> 01     revoked        tanne
>> 02     verified       eisfairdev
>> 03     verified       openvpn
>> 04     verified       tanne
>> Press ENTER to continue
>> Input client name: ?
>>
>> Und nun? tanne gibt's zweimal und ich soll den Namen und nicht den index
>> eingeben. Wird hier autom. der richtige (04) genommen?
>
> Ich glaube sowas war von Thosten seinerzeit nicht vorgesehen (ein
> revoked cert wieder neu erstellen).Wobei ich mich immer wieder frage
> wozu bei openvpn revoke nützlich ist. Wenn ich einem Key die
> Berechtigung entziehen will lösche ich einfach die Zertifikatsdateien
> und damit ist der ausgesperrt. Dann kann ich auch einfach ein neues
> Zertifikat erstellen. Bei Mail https usw. macht revoke sinn, aber bei
> openvpn......
>
Die EasyESA-Tools bringen das eben so mit. Ist ja auch nicht verkehrt.
Nur bräuchten die zurückgezogenen Zertifikate nicht mehr für den Export 
angeboten werden. Das macht wirklich keinen Sinn.

Bei großen Installationen mit 20-30 Clients wirds unübersichtlich.
Aber ich kann nun schonaml sagen, dass automatisch der richtige Index 
verwendet wird, wenn es einen Namen zwei Mal gibt. Zwei Gültige mit dem 
gleichen Namen sind von vornherein ausgeschlossen.

> Naja, ich lass es drin, aber ich werde eine Löschmöglichkeit mit einbauen.
>
Obacht. Wenn du das wirklich angreifen willst, musst du an die Routine 
denken, die die Index-Nummern für die Anzeige erstellt.
Lücken in der Nummerierung wären ebenso verwirrend.

> Gruß
>
> Olaf
>

Gruß, Tanne


-- 
--------------------------
Es grüsst hochachtungsvoll
******* T A N N E ********

---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus

Mehr Informationen über die Mailingliste Eisfair_dev