Inhaltsverzeichnis
Werbung
Nachfolgend sind die Zertifikate mit der Passwortphrase "router" aufgeführt (Zertifizierungsstelle
bleibt unverändert):
******************** server cert
*************************************
openssl genrsa -des3 -passout pass:router -out private/server.pem
2048
openssl req -new -key private/server.pem -out tmp/server.req
openssl x509 -req -days 7305 -sha1 -extensions v3_req -CA ca.crt -
CAkey
private/ca.key -in tmp/server.req -CAserial ca.srl -CAcreateserial
-out server.crt
******************** client cert
**************************************
openssl genrsa -des3 -passout pass:router -out private/client.pem
2048
openssl req -new -key private/client.pem -out tmp/client.req
openssl x509 -req -days 7305 -sha1 -extensions v3_req -CA ca.crt -
CAkey
private/ca.key -in tmp/client.req -CAserial ca.srl -CAcreateserial
-out client.crt
IPsec unterstützt die folgenden Typen von Identifikatoren (IDs) beider Tunnelseiten
(Elemente Remote ID und Local ID):
• IP-Adresse (z. B. 192.168.1.1)
• DN (z. B. D=DE, W=Wieland, OU=TP, CN=A)
• FQDN (z. B. @director.wieland.com) – vor FQDN muss immer @ stehen
• User FQDN (z. B. director@wieland.com)
Die Zertifikate und privaten Schlüssel müssen im PEM-Format vorliegen. Als Zertifikat kann nur ein
HINWE IS
solches verwendet werden, das durch den Beginn und das Ende des Zertifikats eingeleitet wird.
Die zufällige Zeit, nach der die neuen Schlüssel wieder ausgetauscht werden, wird so definiert:
Lebensdauer − (Rekey margin + Zufallswert im Bereich (von 0 bis Rekey margin * Rekey Fuzz/100))
Standardmäßig wird der wiederholte Schlüsselaustausch im Zeitbereich gehalten:
•
Minimale Zeit: 1 h − (9 m + 9 m) = 42 m
•
Maximale Zeit: 1 h − (9 m + 0 m) = 51 m
Wieland Electric GmbH | BA001038 | 08/2021 (Rev. B)
Konfiguration
75
Werbung
Inhaltsverzeichnis
