Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
Zeile 7: Zeile 7:
 
** ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)
 
** ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)
  
 
+
=== TODO Liste 2022/2023 ===
=== TODO Liste (neu) ===
+
  
 
Aktueller Prozess - Resign mit vorhandenen Keys:
 
Aktueller Prozess - Resign mit vorhandenen Keys:
  
 
* CA Zertifikate verlängern
 
* CA Zertifikate verlängern
** Entscheidung: Seriennummern nicht übernehmen
+
** (erledigt) Entscheidung: Seriennummern nicht übernehmen
** root CA 5 Jahre verlängert (Ende 2037)
+
** (erledigt) root CA 5 Jahre verlängert (Ende 2037)
** alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
+
** (erledigt) alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
 
** wiki Seite mit CA Übersicht aktualisieren
 
** wiki Seite mit CA Übersicht aktualisieren
 +
** (erledigt) Git aktualisieren
  
 
* auf Opennet CA Server (amano)
 
* auf Opennet CA Server (amano)
** CA crt Dateien exportieren
+
** CA crt Dateien einspielen
** ca-bundle erstellen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz)
+
** ca-bundle ablegen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz)
 
** index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999
 
** index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999
 
** config (openssl) Datei anpassen
 
** config (openssl) Datei anpassen

Version vom 11. Juni 2023, 17:12 Uhr

Situation

TODO Liste 2022/2023

Aktueller Prozess - Resign mit vorhandenen Keys:

  • CA Zertifikate verlängern
    • (erledigt) Entscheidung: Seriennummern nicht übernehmen
    • (erledigt) root CA 5 Jahre verlängert (Ende 2037)
    • (erledigt) alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
    • wiki Seite mit CA Übersicht aktualisieren
    • (erledigt) Git aktualisieren
  • auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist)
  •  ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen
  • jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen
  • einige Opennet AP Zertifikate erneuern/austauschen
  • Beginn großflächig Nutzer-APs umstellen
  • wir sollten den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren)
  • testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key
  • Idee: Felder vorausfüllen (Emailadresse & co)
Von „http://wiki.opennet-initiative.de/w/index.php?title=Opennet_CA/CA_Cert_Renewal_2023&oldid=38555
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge