[Schan-user] OpenVPN

Harry walk2sun at arcor.de
Sam Mai 6 11:51:11 CEST 2006


Am Samstag, 6. Mai 2006 11:16 schrieb Helmut Hullen:
> Hallo, Harry,
>
> Du meintest am 06.05.06 zum Thema Re: [Schan-user] OpenVPN:
> > Ueberpruefen mit:
> > 		getent hosts arktur # sofern der Server arktur heisst
>
> (da würde ich lieber "hostname" benutzen: die Ausgabe ist
> zuverlässiger)
Die SSL Biliotheken benutzen das "getent" Kommando. Daher ist der Befehl 
"hostname" NICHT zuverlaessiger. Man kann Konfigurationen bauen, bei denen 
beide Kommandos unterschiedliche Ergebnisse liefern!
"getent" ruft direkt die gleichnamige C-Funktion auf!


> > 		192.168.0.5 Arktur Arktur.europaschuledortmund.do.nw.schule.de
> > Fuer diesen Arktur gilt:
> > CommonName = DNS-Name = Arktur.europaschuledortmund.do.nw.schule.de
>
> Da könnte der Fehler liegen: in der c't-Anleitung wurde "my_ca"
> vorgeschlagen, was nicht so sehr nach DNS-Name aussieht.
"my_ca" ist bestimmt richtig, als Name fuer den CA-Key. Der Server-Key wird 
aus dem CA-Key generiert, genau wie alle Client-Keys.
Wenn my_ca fuer den Server benutzt wurde, kann es nicht funktionieren. Der 
CA-Key hat andere Extensions als ein Server-Key. Stichwort Netscape.
Versuch doch mal die Keys mit Tiny-Ca zu generieren (GUI-basiert).

Eine weitere Moeglichkeit waere eine Querzertifizierung zwischen 2 CA's oder 
zwischen 2 Server-Keys con unterschiedlichen CAs. 
Querzertifizierungen dienen also der Vertrauenspruefung von zwei Keys, die 
keinen gemeinsammen Mutter-Key (CA-Key) haben.

>
> Wenn ich anhand der c't-Anleitung ein Skript für Arktur baue: der pure
> Hostname ohne Domain-Anteil wird demnach Probleme machen, weil es ja
> einige Hundert Arkturii in Deutschland und Umgebung gibt?
Denk doch mal an den Hostnamen www oder ftp. Davon gibt es Millionen.
Wenn die Server nur anhand des Shortnames zu identifizieren sind, dann hat das 
alles keinen Sinn. Der Shortname kann in einem isolierten Homenetz durchaus 
eingesetzt werden. In oeffentlichen Netzen macht das wenig Sinn.

> Viele Gruesse!
> Helmut
>
>
>
> _______________________________________________
> schan-user mailing list
> schan-user at listserv.heise.de
> http://www.heise.de/bin/newsletter/listinfo/schan-user

-- 

Gruß
	Harry Jede

_______________________________________________
schan-user mailing list
schan-user at listserv.heise.de
http://www.heise.de/bin/newsletter/listinfo/schan-user