Erzeugen der Schlüssel

Zuerst müssen zwei Schlüssel (für FreeS/WAN und für PGPnet) erzeugt werden. Dies muss für jeden Schlüssel einzeln geschehen. Ich empfehle folgendes Vorgehen: (eine genauere Anleitung mit Screenshots wird es noch in einem extra Dokument geben) Das Erzeugen der Keys ist derzeit leider nur mit PGPnet Version 6.5.8 möglich, man kann jedoch die damit erzeugten Keys auch mit aktuelleren PGPnet Versionen (z.B. 7.0.3) verwenden (siehe Screenshots-Dokument).

• Auf dem Windows Rechner eine Leere Diskette mit zwei Verzeichnissen (freeswan + pgpnet) erzeugen
• in PGPnet alle (wichtig!) vorhandenen Schlüssel löschen (kann ja man vorher sichern)
• mit PGPnet einen neuen Schlüssel (RSA, 1024 Bit) erzeugen, den Fingerprint (Hexadezimal - unter ,,Key Properties``) mit auf Diskette sichern und PGPnet schliessen (Dieser Schlüssel wird später als Key für den FreeS/WAN Server verwendet)
• die Dateien pubring.pkr und secring.skr aus dem PGP Keyrings - Verzeichnis auf Diskette in den Ordner FreeS/WAN kopieren
• PGPnet starten, den Schlüssel löschen, einen neuen RSA-Key 1024-Bit erzeugen, den zweiten Fingerprint ebenfalls sichern und PGPnet wieder beenden (Dieser Key wird später als Key für PGPnet verwendet)
• die Datei pubring.pkr auf Diskette in das Verzeichnis pgpnet kopieren (falls eine andere PGPnet Version, oder PGPnet auf einem anderen Rechner verwendet wird sollte auch die secring.skr mit auf Diskette kopiert werden, um sie später mit der anderen PGPnet version wieder importieren zu können)
• die Diskette an der Linux Maschiene (z.B. unter /floppy) mounten
• die pubring.pkr des Servers (freeswan Verzeichnis) nach /etc/pgpcert.pgp kopieren (sie darf nur einen Schlüssel enthalten!)
• für beider Verzeichnisse mittels keyextractor die FreeS/WAN kompatiblem Keys erzeugen z.B.

   apollo:/floppy/freeswan # keyextractor freeswan \
   freeswan.out pubring.pkr secring.skr
  

  Achtung: in den Keyring Dateien (*pkr, *skr) darf jeweils nur ein Schlüssel enthalten sein!
• der Key sollte jetzt die von FreeS/WAN gewohnte Gestalt haben z.B.

   apollo:/floppy/freeswan # cat freeswan.out 
   pubkey: #0x...
   Modulus: 0x...
   PublicExponent: 0x...
   PrivateExponent: 0x...
   Prime1: 0x...
   Prime2: 0x...
   Exponent1: 0x...
   Exponent2: 0x...
   Coefficient: 0x...
  

• nun kann das FreeS/WAN Schlüsselpaar in die Datei /etc/ipsec.secrets ähnlich zu Punkt eingefügt werden , jedoch muss
  • die erste Zeile (pubkey: 0x..) auskommentiert werden
  • vor ,,: RSA`` muss der freeswan Fingerprint des Servers stehen
  z.B.

   @#4094B322E44EBBDB699C4B4AD4A07808: RSA {
   #pubkey: #0x...
   Modulus: 0x...
   PublicExponent: 0x...
   PrivateExponent: 0x...
   Prime1: 0x...
   Prime2: 0x...
   Exponent1: 0x...
   Exponent2: 0x...
   Coefficient: 0x...
          }
  

• in der ipsec.conf auf dem Server müssen noch beide public-keys eingetragen werden (stehen bei pubkey) bei leftrsasigkey, die des Servers (Verzeichnis freeswan) und bei rightrsasigkey die des PGPnet Clients (Verzeichnis pgpnet).
• zusätzlich muss der Hexadezimale Fingerprint der Keys (freeswan-Key bei leftid, und pgpnet-Key bei rightid in der ipsec.conf eingetragen werden z.B.

   ... [ipsec.conf] ...
   leftid=@#4094B322E44EBBDB699C4B4AD4A07808
   ...
   rightid=@#99806BEFBB553B6F55D6016EFA45014A
  

• den FreeS/WAN Server neu starten
• im PGPnet muss das Schlüsselpaar, das wir für PGPnet erstellt haben komplett (private und public) enthalten sein, während vom FreeS/WAN Schlüssel nur der öffentliche Teil gespeichert sein sollte (man kann die Keys von der Diskette erneut importieren)
• das PGPnet Schlüsselpaar muss als Vertrauenswürdig markiert werden (,,Implicit Trust`` bei Key Properties), und der freeswan public key muss unterschrieben werden, und anschliessend auch auf trusted gesetzt werden.