Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen
Aus Opennet
Leo (Diskussion | Beiträge) |
(→TODO Liste (alt)) |
||
| Zeile 16: | Zeile 16: | ||
=== TODO Liste (alt) === | === TODO Liste (alt) === | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
* (todo) Neue CAs zu OpenVPN CA-File hinzufügen | * (todo) Neue CAs zu OpenVPN CA-File hinzufügen | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
* (todo) Server Sub-CA erzeugen u. veröeffentlichen | * (todo) Server Sub-CA erzeugen u. veröeffentlichen | ||
** brauch wir die Server Sub-CA überhaupt noch? | ** brauch wir die Server Sub-CA überhaupt noch? | ||
| − | |||
| − | |||
| − | |||
| − | |||
* (todo) CA File mit Certchain zum Download anbieten | * (todo) CA File mit Certchain zum Download anbieten | ||
| − | |||
* (todo) CA Bundle File zum Download anbieten | * (todo) CA Bundle File zum Download anbieten | ||
| − | |||
* (todo) neue Struktur auf allen VPN Server übertragen | * (todo) neue Struktur auf allen VPN Server übertragen | ||
* (todo) neue Schlüsselpaare je VPN Instanz erzeugen, signieren u. einbetten | * (todo) neue Schlüsselpaare je VPN Instanz erzeugen, signieren u. einbetten | ||
| Zeile 53: | Zeile 31: | ||
** Aktivierung CADIR Check UGW/User VPN Instanzen | ** Aktivierung CADIR Check UGW/User VPN Instanzen | ||
** (todo) neue Schlüsselpaare aktivieren | ** (todo) neue Schlüsselpaare aktivieren | ||
| − | |||
| − | |||
| − | |||
| − | |||
* (todo) Umstellung OpenVPN ns-cert-type nach remote-cert-tls in Opennet Firmware + Anpassung Zertifikate auf EKU "TLS Server" | * (todo) Umstellung OpenVPN ns-cert-type nach remote-cert-tls in Opennet Firmware + Anpassung Zertifikate auf EKU "TLS Server" | ||
Version vom 2. Mai 2023, 07:04 Uhr
Situation
- Sub-CAs laufen Ende 2023/Anfang 2024 ab, sieh https://wiki.opennet-initiative.de/wiki/Opennet_CA
- wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
TODO Liste (neu)
- (todo) Entscheidung über CA Parameter (Martin)
- (todo) Funktionsweise des bisherigen CA Verwaltungstools verstehen (einen Wissenden fragen)
- (todo) Zugang + Schulung/Einführung (Martin fragt Mathias)
- (todo) Sub-CA XY anlegen
- (todo) Wie kommt neues Zertifkate der Sub-CAs auf AP? (Tobias)
- (todo) Wie kann man Client/User Zertifikate neu generieren und übertragen/austauschen?
- (todo) alle Zertifikate austauschen
TODO Liste (alt)
- (todo) Neue CAs zu OpenVPN CA-File hinzufügen
- (todo) Server Sub-CA erzeugen u. veröeffentlichen
- brauch wir die Server Sub-CA überhaupt noch?
- (todo) CA File mit Certchain zum Download anbieten
- (todo) CA Bundle File zum Download anbieten
- (todo) neue Struktur auf allen VPN Server übertragen
- (todo) neue Schlüsselpaare je VPN Instanz erzeugen, signieren u. einbetten
- (todo) Deaktivieren altes tls-verify Script auf allen VPN Servern
- (todo) Config Push Erweiterung alle VPN Server
- (todo) Ankündigung an alle Opennet Mitglieder senden
- (todo) nach Umstellung aller VPN Clients:
- alte CAs aus OpenVPN Instanzen entfernen
- alte Freigabeverzeichnisse u. User auf CA Server entfernen
- Aktivierung CADIR Check UGW/User VPN Instanzen
- (todo) neue Schlüsselpaare aktivieren
- (todo) Umstellung OpenVPN ns-cert-type nach remote-cert-tls in Opennet Firmware + Anpassung Zertifikate auf EKU "TLS Server"
