Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen

Version vom 13. Juli 2023, 19:51 Uhr

Situation

• Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe Opennet CA und Benutzer:MathiasMahnke/CA Cert Renewal 2013
• wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
• Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca)
• Sub-CA Resign
• Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen
  • ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)

TODO Liste 2022/2023

Aktueller Prozess - Resign mit vorhandenen Keys:

• (erledigt) CA Zertifikate verlängern
  • (erledigt) Entscheidung: Seriennummern nicht übernehmen
  • (erledigt) root CA 5 Jahre verlängert (Ende 2037)
  • (erledigt) alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
  • (erledigt) Wiki Seite mit CA Übersicht aktualisieren
  • (erledigt) Git aktualisieren
  • (erledigt) Opennet Firmware on-certificates und OpenVPN Pakete aktualisieren

• (erledigt) auf Opennet CA Server (amano)
  • (erledigt) CA crt Dateien einspielen
  • (erledigt) ca-bundle ablegen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz)
  • (erledigt) index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999
  • (erledigt) config (openssl) Datei anpassen
  • (erledigt) ca/${ONI_CA_X}/opennetca.cfg anpassen
  • (erledigt) wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben

• auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist)
•  ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen
• jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen
• Firmware Aktualisieren oder alte Firmware mit neuem on-certificates Paket versorgen
• Opennet Server + Client Zertifikate erneuern/austauschen
• einige Opennet User-AP/UGW-AP Zertifikate erneuern/austauschen
• Beginn großflächig Nutzer-APs umstellen
• wir werden den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren)
• (erledigt) testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key
• Idee: Felder vorausfüllen (Emailadresse & co)

Prozedur zum Testen neuer Zertifikate

Voraussetzung:

• SSH Zugriff auf Server gai
• Zugriff auf ein UGW (mit neuem und altem Zertifikat)

Ablauf:

• ssh into Server gai

 cd /etc/openvpn/opennet_ugw_2022_test
 vim ../opennet_ugw_2022_test.conf
 /usr/sbin/openvpn --config ../opennet_ugw_2022_test.conf  # this starts OpenVPN in foreground on port 16999

• ssh into your UGW

 # create config file
 cat > mesh_openvpn_gai_opennet_initiative_de_16999_udp.conf <<EOF
 #!/bin/sh
 remote gai.opennet-initiative.de 16999 udp
 ca /etc/ssl/certs/opennet-initiative.de/opennet-server_bundle.pem  # try new ca bundles here
 remote-cert-tls server
 cd /etc/openvpn/opennet_ugw
 cert on_ugws.crt                                                   # try new ugw cert here
 key on_ugws.key
 client
 nobind
 explicit-exit-notify 1
 persist-tun
 persist-key
 mute-replay-warnings
 dev tap
 dev-type tap
 txqueuelen 1000
 EOF
 
 # start openvpn tunnel via
 openvpn --config mesh_openvpn_gai_opennet_initiative_de_1602_udp.conf

Testfälle

UGW-Server			UGW-Client			Szenario
certchain	cert		certchain	cert		
-------------------------------------------------------------------------------------
alt		alt		alt		alt		alles alt, wie bisher
neu		neu		alt		alt		nur Server aktualisiert und Clients noch nicht
neu		neu		neu		neu		auch UGW aktualisiert