CentOS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 43: | Zeile 43: | ||
tar xfv $HOSTNAME.tgz | tar xfv $HOSTNAME.tgz | ||
| + | ==nss Zertifikate in Datenbank pflegen== | ||
| + | *Standard DB-TYPE wird hiermit angegeben: | ||
| + | export NSS_DEFAULT_DB_TYPE="sql" | ||
| + | *Neue Zertifikat-Datenbank ('''LEERE PASSWÖRTER BENUTZEN!''') | ||
| + | certutil -N -d /etc/ipsec.d | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
*P12 import | *P12 import | ||
pk12util -i certkey.p12 -d /etc/ipsec.d | pk12util -i certkey.p12 -d /etc/ipsec.d | ||
| − | * | + | |
| + | *Name von dem Zertifikat in der nss-Datenbank anzeigen | ||
certutil -L -d /etc/ipsec.d | certutil -L -d /etc/ipsec.d | ||
| − | + | ||
| − | + | <pre> | |
| − | + | [root@centos64 ~]# export NSS_DEFAULT_DB_TYPE="sql" | |
| + | [root@centos64 ~]# certutil -L -d /etc/ipsec.d | ||
| + | |||
| + | Certificate Nickname Trust Attributes | ||
| + | SSL,S/MIME,JAR/XPI | ||
| + | |||
| + | '''centos64.xinux''' (##BEISPIEL-ZERTIFIKATSNAME) u,u,u | ||
| + | xinux-ca ,, | ||
| + | </pre> | ||
| + | |||
| + | *Neue Datei erstellen mit dem Inhalt: | ||
| + | vi /etc/ipsec.d/nss.certs | ||
| + | |||
| + | Inhalt: | ||
@fqdn: RSA "name of certificate in nss db" "" | @fqdn: RSA "name of certificate in nss db" "" | ||
| + | |||
| + | Beispiel: | ||
| + | @centos64.xinux: RSA "centos64.xinux" "" | ||
| + | |||
| + | ==ipsec.conf== | ||
| + | |||
| + | vi /etc/ipsec.conf | ||
| + | <pre> | ||
| + | version 2.0 # conforms to second version of ipsec.conf specification | ||
| + | config setup | ||
| + | protostack=netkey | ||
| + | nat_traversal=yes | ||
| + | virtual_private= | ||
| + | oe=off | ||
| + | |||
| + | conn $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME | ||
| + | authby=rsasig | ||
| + | left=$IP-GEGENSEITE | ||
| + | leftrsasigkey=%cert | ||
| + | leftid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-GEGENSEITE, E=technik@xinux.de" (CN gibt man bei makepki an...) | ||
| + | leftsubnet=$SUBNET-GEGENSEITE | ||
| + | right=$IP-CENTOS | ||
| + | rightcert=centos64.xinux ('''Das Zertifikat aus der NSS-Bank muss benutzt werden!''') | ||
| + | rightid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-CENTOS, E=technik@xinux.de" (CN gibt man bei makepki an...) | ||
| + | rightrsasigkey=%cert | ||
| + | rightsubnet=$SUBNET-CENTOS | ||
| + | ike=3des-md5-modp1024 | ||
| + | esp=3des-md5-96 | ||
| + | pfs=yes | ||
| + | auto=start | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | ===ACHTUNG!=== | ||
| + | |||
| + | Die Paramter der Zertifikate bei "leftid/rightid" auslesen lassen mit: | ||
| + | openssl x509 -noout -subject -serial -in $ERSTELLTESCERTFÜRHOST.crt | ||
| + | |||
| + | ==ipsec neustarten== | ||
| + | |||
| + | service ipsec restart | ||
| + | ipsec auto --add $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME ('''Die VPN, welche in der ipsec.conf angegeben wurde''') | ||
| + | ipsec auto --up $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME | ||
| + | |||
| + | tail -f /var/log/messages | ||
| + | |||
| + | =Links= | ||
*https://lists.openswan.org/pipermail/users/2009-July/016991.html | *https://lists.openswan.org/pipermail/users/2009-July/016991.html | ||
*https://lists.openswan.org/pipermail/users/2012-April/021504.html | *https://lists.openswan.org/pipermail/users/2012-April/021504.html | ||
Version vom 22. August 2013, 08:31 Uhr
Interface Konfiguration
vi /etc/sysconfig/network-scripts/ifcfg-eth0
- DEVICE="eth0"
- Gibt den Namen der Schnittstelle an
- HWADDR="08:00:27:35:E9:2B"
- Gibt die MAC-Adresse an
- ONBOOT="yes"
- Gibt an ob die Schnittstelle beim booten gestartet werden soll
- IPADDR="192.168.0.100"
- Gibt die IP-Adresse der Schnittstelle an
- NETMASK="255.255.255.0"
- Gibt die Netzmaske der Schnittstelle an
- GATEWAY="192.168.0.1"
- Gibt den default Router an
Hostname ändern
ssh enablen
chkconfig sshd on
openswan
Installation
yum install openswan nss-tools ipsec-tools mkdir /root/certs
Zertifikaterstellung
Auf ezri liegt das makepki-Tool.
makepki cert $HOSTNAME tar cfvz $HOSTNAME.tgz $HOSTNAME.* ca.crt ca.crl scp $HOSTNAME.tgz $HOSTNAME:/root/certs
Auf dem Centossystem:
cd /root/certs tar xfv $HOSTNAME.tgz
nss Zertifikate in Datenbank pflegen
- Standard DB-TYPE wird hiermit angegeben:
export NSS_DEFAULT_DB_TYPE="sql"
- Neue Zertifikat-Datenbank (LEERE PASSWÖRTER BENUTZEN!)
certutil -N -d /etc/ipsec.d
- P12 import
pk12util -i certkey.p12 -d /etc/ipsec.d
- Name von dem Zertifikat in der nss-Datenbank anzeigen
certutil -L -d /etc/ipsec.d
[root@centos64 ~]# export NSS_DEFAULT_DB_TYPE="sql"
[root@centos64 ~]# certutil -L -d /etc/ipsec.d
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
'''centos64.xinux''' (##BEISPIEL-ZERTIFIKATSNAME) u,u,u
xinux-ca ,,
- Neue Datei erstellen mit dem Inhalt:
vi /etc/ipsec.d/nss.certs Inhalt: @fqdn: RSA "name of certificate in nss db" ""
Beispiel: @centos64.xinux: RSA "centos64.xinux" ""
ipsec.conf
vi /etc/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification
config setup
protostack=netkey
nat_traversal=yes
virtual_private=
oe=off
conn $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
authby=rsasig
left=$IP-GEGENSEITE
leftrsasigkey=%cert
leftid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-GEGENSEITE, E=technik@xinux.de" (CN gibt man bei makepki an...)
leftsubnet=$SUBNET-GEGENSEITE
right=$IP-CENTOS
rightcert=centos64.xinux ('''Das Zertifikat aus der NSS-Bank muss benutzt werden!''')
rightid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-CENTOS, E=technik@xinux.de" (CN gibt man bei makepki an...)
rightrsasigkey=%cert
rightsubnet=$SUBNET-CENTOS
ike=3des-md5-modp1024
esp=3des-md5-96
pfs=yes
auto=start
ACHTUNG!
Die Paramter der Zertifikate bei "leftid/rightid" auslesen lassen mit:
openssl x509 -noout -subject -serial -in $ERSTELLTESCERTFÜRHOST.crt
ipsec neustarten
service ipsec restart ipsec auto --add $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME (Die VPN, welche in der ipsec.conf angegeben wurde) ipsec auto --up $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
tail -f /var/log/messages