Opennet CA/CA Cert Renewal 2023

Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe Opennet CA und Benutzer:MathiasMahnke/CA Cert Renewal 2013
wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca)
Sub-CA Resign
Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen
- ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)

Aktueller Prozess - Resign mit vorhandenen Keys:

CA Zertifikate verlängern
- Entscheidung: Seriennummern nicht übernehmen
- root CA 5 Jahre verlängert (Ende 2037)
- alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
- wiki Seite mit CA Übersicht aktualisieren

auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist)
? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen
jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen
einige Opennet AP Zertifikate erneuern/austauschen
Beginn großflächig Nutzer-APs umstellen
wir sollten den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren)
testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key
Idee: Felder vorausfüllen (Emailadresse & co)