Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „=== Intro === * Sub-CAs laufen Ende 2023/Anfang 2024 ab * wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate === TODO Liste (neu) === * (todo…“)

Version vom 1. Mai 2023, 20:48 Uhr

Intro

  • Sub-CAs laufen Ende 2023/Anfang 2024 ab
  • wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate


TODO Liste (neu)

  • (todo) Entscheidung über CA Parameter
  • (todo) Funktionsweise des bisherigen CA Verwaltungstools verstehen (einen Wissenden fragen)
  • (todo) Sub-CA XY anlegen
    • (todo) Wie kommt neue Zertifkate der Sub-CAs auf AP?
    • (todo) Wie kann man Client/User Zertifikate neu generieren und übertragen/austauschen?
  • ...

TODO Liste (alt)

  • (todo) CAs einlagern, Keys/CSR sichern
  • (todo) ??? Root CA index manuell erstellen
  • (todo) Certs bereitstellen
  • (todo) ??? CRLs erstellen und automatisieren
  • (todo) ??? CSR CN Filter je CA
  • (todo) Automatischer Mailversand
  • (todo) ??? CRL Download per Cron auf VPN GW Servern
  • (todo) ??? CRL Check in OpenVPN Instanzen
  • (todo) Neue CAs zu OpenVPN CA-File hinzufügen
  • (todo) CSR Upload Webinterface
  • (todo) Client Sub-CA anlegen
  • (todo) CSR Upload Benachrichtigung
  • (todo) Sign CC E-Mail via JSON
  • (todo) CSR Upload Sign Interface
  • (todo) Mailversand mit menschenlesbaren Absender/Empfänger
  • (todo) CSR Upload Prüfung alte AP Schreibweise (XXX.aps.on statt y.xxx.aps / y.xxx.aps.on)
  • (todo) Opennet Mesh CA/CSR interne Erreichbarkeit
  • (todo) Server Sub-CA erzeugen u. veröeffentlichen
    • brauch wir die Server Sub-CA überhaupt noch?
  • (todo) Heartofgold Server Zertifikat mit SubjectAltName
  • (todo) CAPath Config in UGW/User VPN Instanzen
  • (todo) CSR Upload Prüfung alte AP Schreibweise für UGWs
  • (todo) Test neues Schlüsselpaar User VPN (Aqua)
  • (todo) CA File mit Certchain zum Download anbieten
  • (todo) Test CRL Revoke mit UGW/User VPN (Aqua)
  • (todo) CA Bundle File zum Download anbieten
  • (todo) OpenVPN Wiki Doku anpassen
  • (todo) neue Struktur auf allen VPN Server übertragen
  • (todo) neue Schlüsselpaare je VPN Instanz erzeugen, signieren u. einbetten
  • (todo) Deaktivieren altes tls-verify Script auf allen VPN Servern
  • (todo) Config Push Erweiterung alle VPN Server
  • (todo) Ankündigung an alle Opennet Mitglieder senden
  • (todo) nach Umstellung aller VPN Clients:
    • alte CAs aus OpenVPN Instanzen entfernen
    • alte Freigabeverzeichnisse u. User auf CA Server entfernen
    • Aktivierung CADIR Check UGW/User VPN Instanzen
    • (todo) neue Schlüsselpaare aktivieren
  • (todo) CRL Monitoring
  • (todo) REST API zur Anbindung an die Opennet FW?
  • (todo) GPG / X.509 signierter Mailversand?
  • (todo) DNSSEC / TLSA?
  • (todo) Umstellung OpenVPN ns-cert-type nach remote-cert-tls in Opennet Firmware + Anpassung Zertifikate auf EKU "TLS Server"
Von „http://wiki.opennet-initiative.de/w/index.php?title=Opennet_CA/CA_Cert_Renewal_2023&oldid=38527
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge