Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen
Aus Opennet
Leo (Diskussion | Beiträge) |
Leo (Diskussion | Beiträge) |
||
| Zeile 18: | Zeile 18: | ||
* als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind) | * als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind) | ||
| − | * Entscheidung: Seriennummern nicht übernehmen | + | * CA Zertifikate generieren |
| − | * root CA 5 Jahre verlängert (Ende 2037) | + | ** Entscheidung: Seriennummern nicht übernehmen |
| − | * alle CAs wurden verlängert (resign) von aktualisierter root CA | + | ** root CA 5 Jahre verlängert (Ende 2037) |
| + | ** alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert) | ||
| − | * index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999 | + | * auf Opennet CA Server (amano) |
| − | * | + | ** CA crt Dateien exportieren und ca-bundle erstellen |
| − | * wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben | + | ** index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999 |
| − | + | ** config (openssl) Datei anpassen | |
| − | * | + | ** wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben |
| + | |||
| + | * auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist) | ||
* ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen | * ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen | ||
| − | * jetzt können wir Server Zertifikate ausstellen und in Betrieb nehmen | + | * jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen |
* einige Opennet AP Zertifikate erneuern/austauschen | * einige Opennet AP Zertifikate erneuern/austauschen | ||
* Beginn großflächig Nutzer-APs umstellen | * Beginn großflächig Nutzer-APs umstellen | ||
Version vom 3. Juni 2023, 20:13 Uhr
Situation
- Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe Opennet CA und Benutzer:MathiasMahnke/CA Cert Renewal 2013
- wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
- Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca)
- Sub-CA Resign
- Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen
- ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)
TODO Liste (neu)
angenommen: neu CAs sind generiert
- erstelle neues server-ca-bundle (einfach neue CA Zertifikate hinzufügen)
- Server: server-ca-bundle auf OpenVPN Server einspielen. OpenVPN muss neuen CAs vertrauen.
- AP: für alle APs neues Zertifikat erstellen (mit neuer CA)
- AP: Zertifikat auf AP konfigurieren/aktiviere
- AP: neues certificate-bundle einspielen/kopieren (on-certificates)
- als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind)
- CA Zertifikate generieren
- Entscheidung: Seriennummern nicht übernehmen
- root CA 5 Jahre verlängert (Ende 2037)
- alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
- auf Opennet CA Server (amano)
- CA crt Dateien exportieren und ca-bundle erstellen
- index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999
- config (openssl) Datei anpassen
- wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben
- auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist)
- ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen
- jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen
- einige Opennet AP Zertifikate erneuern/austauschen
- Beginn großflächig Nutzer-APs umstellen
- wir sollten den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren)
- testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key
- Idee: Felder vorausfüllen (Emailadresse & co)
