Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen
Aus Opennet
(→TODO Liste 2022/2023) |
|||
| Zeile 11: | Zeile 11: | ||
Aktueller Prozess - Resign mit vorhandenen Keys: | Aktueller Prozess - Resign mit vorhandenen Keys: | ||
| − | * CA Zertifikate verlängern | + | * (erledigt) CA Zertifikate verlängern |
** (erledigt) Entscheidung: Seriennummern nicht übernehmen | ** (erledigt) Entscheidung: Seriennummern nicht übernehmen | ||
** (erledigt) root CA 5 Jahre verlängert (Ende 2037) | ** (erledigt) root CA 5 Jahre verlängert (Ende 2037) | ||
| Zeile 20: | Zeile 20: | ||
* auf Opennet CA Server (amano) | * auf Opennet CA Server (amano) | ||
| − | ** CA crt Dateien einspielen | + | ** (erledigt) CA crt Dateien einspielen |
** ca-bundle ablegen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz) | ** ca-bundle ablegen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz) | ||
| − | ** index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999 | + | ** (erledigt) index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999 |
| − | ** config (openssl) Datei anpassen | + | ** (erledigt) config (openssl) Datei anpassen |
| − | ** ca/${ONI_CA_X}/opennetca.cfg anpassen | + | ** (erledigt) ca/${ONI_CA_X}/opennetca.cfg anpassen |
** wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben | ** wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben | ||
| Zeile 31: | Zeile 31: | ||
* jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen | * jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen | ||
* Firmware Aktualisieren oder alte Firmware mit neuem on-certificates Paket versorgen | * Firmware Aktualisieren oder alte Firmware mit neuem on-certificates Paket versorgen | ||
| − | * einige Opennet AP Zertifikate erneuern/austauschen | + | * Opennet Server + Client Zertifikate erneuern/austauschen |
| + | * einige Opennet User-AP/UGW-AP Zertifikate erneuern/austauschen | ||
* Beginn großflächig Nutzer-APs umstellen | * Beginn großflächig Nutzer-APs umstellen | ||
| − | * wir | + | * wir werden den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren) |
* (erledigt) testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key | * (erledigt) testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key | ||
* Idee: Felder vorausfüllen (Emailadresse & co) | * Idee: Felder vorausfüllen (Emailadresse & co) | ||
Version vom 24. Juni 2023, 23:20 Uhr
Situation
- Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe Opennet CA und Benutzer:MathiasMahnke/CA Cert Renewal 2013
- wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
- Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca)
- Sub-CA Resign
- Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen
- ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)
TODO Liste 2022/2023
Aktueller Prozess - Resign mit vorhandenen Keys:
- (erledigt) CA Zertifikate verlängern
- (erledigt) Entscheidung: Seriennummern nicht übernehmen
- (erledigt) root CA 5 Jahre verlängert (Ende 2037)
- (erledigt) alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
- (erledigt) Wiki Seite mit CA Übersicht aktualisieren
- (erledigt) Git aktualisieren
- (erledigt) Opennet Firmware on-certificates und OpenVPN Pakete aktualisieren
- auf Opennet CA Server (amano)
- (erledigt) CA crt Dateien einspielen
- ca-bundle ablegen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz)
- (erledigt) index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999
- (erledigt) config (openssl) Datei anpassen
- (erledigt) ca/${ONI_CA_X}/opennetca.cfg anpassen
- wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben
- auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist)
- ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen
- jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen
- Firmware Aktualisieren oder alte Firmware mit neuem on-certificates Paket versorgen
- Opennet Server + Client Zertifikate erneuern/austauschen
- einige Opennet User-AP/UGW-AP Zertifikate erneuern/austauschen
- Beginn großflächig Nutzer-APs umstellen
- wir werden den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren)
- (erledigt) testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key
- Idee: Felder vorausfüllen (Emailadresse & co)
Testfälle
- Server alt, Firmware neu (neue certchain, altes cert)
- Server neu, Firmware alt - hier sollte cert ablaufen (ggf. uhrzeit umschalten und testen)
- Server neu, Firmware neu
- Server neu, Firmware neu, crt neu generiert
- Server neu, Firmware alt, crt neu generiert - hier könnte es schief gehen?!? dann benötige wir ggf. on-certificates neu
