Bitte einmal folgendes klären, weil du "Zertifikate" geschrieben hast, und ich damit Zertifizierung mit den ganzen Brimborium verbinde. Es gibt aber noch anderes.
Wenn es via ssh gesteuert wird, genügt ja eventuell ein ssh Key-Paar, das wesentlich einfacher einzurichten ist. Ausser "man sshd" gibt es da etliche Anlaufstellen im Web, auch eine bei heise
http://www.heise.de/netze/SSH-absichern ... el/77475/0oder ein bisschen anders aufgezogen:
http://www.schlittermann.de/doc/ssh.htmlWenn mehr gefragt ist, openssl, dann benötigst du das Brimborium. Kurzer Anriss:
Mit tinyca eine Zertifizierungsstelle einrichten. Danach unter der Zertifizierungsstelle zumindest ein Zertifikat für den Server und eines für den Client bzw. für die Nutzer erstellen. Besser je eines für jeden Nutzer. Dann musst du die Zertifikate im passenden Format exportieren und auf einem vertrauenswürdigen Weg in die entsprechenden Verzeichnisse bringen.
Bei pkcs12 ist schön, das das Zertifikat des Nutzers nicht nur von der CA signiert ist, sondern auch der öffentliche Schlüssel der CA im Paket mit drin liegt. Man kann zudem die pkcs12 Datei auch noch mit einem Passwort sichern, wenn man Paranoid liebt. Mittels des öffentlichen Schlüssels der ca und dem hinterlegten privaten Schlüssel der ca cann der Server dann feststellen, ob der Anwender beim ihm Zertifiziert ist. Das geht mit dem System immer, solange das CA-Key-Paar existiert! Wenn du ein schwarzes Schaf ausschließen willst, muss du entweder eine neue CA erstellen und die Schlüssel neu verteilen, dann wird das schwarze Schaf abgelehnt. Oder du rufst das Zertifikat zurück und exportierst den Rückruf auf den Server. Dann wird zwar festgestellt, das das schwarze Schaf ein Zertifiziert ist, also erst einmal positiv, das Ihm die Zertifizierung jedoch entzogen wurde und er doch nicht herein darf.
Tja, Zertifizierung ist nicht einfach.
Anmelden
Registrieren
FAQ
Suche
