====== Certificate Authority mit easyrsa ======

Ich empfehle easy-rsa für die verwaltung einer CA.(([[https://wiki.archlinux.org/title/Easy-RSA|Tutorial von Archwiki]]))

==== Initial Setup ====

== Installation (Debia) ==

Unter Debian wird die binary nicht ordentlich verlinkt..

<code>
apt install -y easy-rsa
ln -s /usr/share/easy-rsa/easyrsa /usr/bin/easyrsa
</code>

== Setup CA Ordner ==

Der hier erstellte Ordner muss nicht in gänze aubewahrt werden, aber es bietet sich an.

<code>
easyrsa init-pki
</code>

Erstellt einen pki ordner im aktuellen ordner. dieser beinhaltet dann alle Infos der CA.

Jetzt sollten noch ein paar Infos hinterlegt werden als Defaults. Dafür die ''pki/vars'' Datei bearbeiten.

Außerdem kann man hier die types bearbeiten, um zB CRLs zu erstellen.

<code>
cp /usr/share/easy-rsa/x509-types/* pki/x509-types/
</code>

== Root generieren ==

Nun kann das Root Zertifikat erstellt werden:

<code>
easyrsa build-ca
</code>

==== Client Cert ====

<code>
# create client cert req
easyrsa gen-req jk-t490.home.julian-lemmerich.de nopass

# signing the request
easyrsa sign-req client jk-t490.home.julian-lemmerich.de nopass
</code>

== Export für Clients ==

<code>
easyrsa export-p12 jk-t490.home.julian-lemmerich.de
</code>

Android kann mit standard p12 nicht umgehen, daher muss die legacy option gewählt werden! Dafür wird easyrsa > 3.2.0 benötigt.

<code>
easyrsa export-p12 j-s10e-ii.home.julian-lemmerich.de legacy
</code>

==== Revoking certificates ====

<code>
easyrsa revoke jk-t490.home.julian-lemmerich.de
easyrsa gen-crl
</code>

Danach die pki/crl.pem auf den passenden Server bereitstellen, sodass der verifier diese abrufen kann.

===== Secrets =====

Der PKI Ordner enthält natürlich secrets. Die folgenden sollten verschlüsselt werden, falls der Ordner zB auf git gepusht wird:

  * pki/private/*
  * pki/inline/private/*