Opennet CA
Aus Opennet
| Team |
 Opennet CA |
| Treffen: nur bei Bedarf |
| Opennet Zertifizierungstelle |
| Mitglieder: Christian W., Henning R., Jan C., Jörg P., Marco R., Mathias M., Ralf P., Ralph Oe., Rene E., Sebastian D., Thomas M. |
| Kontakt: admin@opennet-initiative.de |
Inhaltsverzeichnis |
Einleitung
Die Opennet CA ist auf Server/heartofgold beheimatet und wird durch Opennet verwaltet. Die Opennet Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den OpenVPN Dienst innerhalb des Opennet Mesh Netzwerkes. OpenVPN wird eingesetzt, um die Nutzerzugänge abzusichern und Opennet User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.
Zertifikatsanfragen werden an csr@opennet-initiative.de gesendet. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei admin@opennet-initiative.de. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und SSH-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.
Kurzanleitungen
Zertifikate generieren
Kopieren -> Signieren -> Zurückkopieren per:
home-pc$ scp <name>.csr opennetca@heartofgold.on-i.de:ca/opennet_users/csrs home-pc$ ssh opennetca@heartofgold opennetca@heartofgold:~$ cd ca/opennet_users opennetca@heartofgold:~/ca/opennet_users$ ./sign.sh <name> opennetca@heartofgold:~/ca/opennet_users$ logout home-pc$ scp opennetca@heartofgold.on-i.de:ca/opennet_users/certs/<name>.crt .
Gleiches vorgehen bei UGW Anfragen, hier opennet_ugws als Verzeichnis verwenden.
Zertifikate aktivieren
opennetca@heartofgold:~/opennet_users$ touch <common-name>
<common-name> ist der Name des Zertifikates.
Zertifikate deaktivieren
opennetca@heartofgold:~/opennet_users$ rm <common-name>
Das Verzeichnis opennet_users_disabled hat aktuell keine Bedeutung!
Gültige CAs
- Opennet Users Instanz: Opennet CA/opennet users
- Opennet Usergateway Instanz: Opennet CA/opennet ugw
Standardtexte
CSR-Anfrage von Users außerhalb unseres Wirkungsbereiches
Hallo XXX,
vielen Dank für deine Nachfrage. Wir konnten dich derzeit weder als Mitglied oder Interessent unseres Vereines Opennet Initiative e.V. mit dem Betrieb eines eigenen Zugangspunktes finden. Wenn Du Interesse hast, Dich in den Aufbau und Betrieb eines Stadt-WLAN-Netzes einzubringen, melde dich gern an und werde Mitglied im Verein. Näheres findest Du unter
http://www.opennet-initiative.de
Hinweis: Die im/durch das Opennet erstellten/zertifizierten Zertifikate sind außerhalb des Vereins wertlos. Hier bieten sich selbst signierte Zertifikate, kommerzielle Zertifikate oder auch Zertifikate der freien Zertifizierungsstelle CAcert an. Auch dort sind entsprechende Zugangsvoraussetzungen zu beachten.
VIele Gruesse aus Rostock
YYYY
--
Opennet Initiative e.V.
Anleitungen
Arbeit mit der Opennet CA bedeutet Umgang mit OpenSSL Befehlen. Einige Arbeitschritte sind hier ausführlicher erläutert, werden aber im normalen Tagesgeschäft überlicherweise nicht benötigt.
User Zertifikat signieren
Signieren funktioniert für einzelne CSR mit:
openssl ca -config openssl.cnf -days 3650 -in csrs\on_aps.csr -out certs\on_aps.crt
oder per entsprechender Batch-Datei.
- die Zertifikatsanfrage in den Ordner csrs kopieren
- das Script mit dem Namen des zu signierenden .csr als Parameter starten (ohne die Endung .csr)
- Die zu signierende CSR sorgfälltig überprüfen, ob aktives Mitglid und AP Nummer stimmig
- Zertifikat durch touch freischalten user: opennetca hog.on-i.de (bzw s.o)
- Zertifikat an den Absender des CSRs schicken, Kopie an die Admin-Liste
Usergateway Zertifikat signieren
- root Zugang auf Server/heartofgold nötig
- ins Verzeichnis /etc/openvpn/auth/opennet_usergateways wechseln
- Signieren wie oben, Freischaltung nicht nötig
- Zertifikat zurück an den Absender und an die Admin-Liste
Erstellen sub-CA (intermediate-CA)
Linux
Für die Erstellung einer sub-CA wird eine vorhandene Openssl Installation benötigt. Bei einer vorhandenen OpenVPN Installation ist Openssl automatich mit installiert.
- Bei Bedarf OpenVPN oder Openssl installieren (ggf Rootrechte nötig)
- Opennet openssl.cnf besorgen
- Erstellen des sub-CA keys und der zugehörigen Zertifikatsanfrage (.csr) mit
openssl req -days 3650 -nodes -new -keyout <name>-opennet-intermediate-CA.key -out <name>-opennet-intermediate-CA.csr -config <Pfad der opennet openssl.cnf> -extensions v3_ca
Der Key und die csr landen im aktuellen Verzeichnis
- Die csr durch die Opennet Admins signieren lassen
- der reine crt Teil des Zertifikats muss dem ca.crt auf allen GWs angefügt werden
- der Pubkey(der pubkey für ssh) muss für den Benutzer opennetca@hog.on-i.de hinzugefügt werden
- Ein Hauptverzeichnis für die sub-CA wählen und ggf erstellen , als Beispiel wird /openssl gewählt (Variabele dir in der opennet.cnf)
- dem Verzeichnis nur minimale Rechte geben chmod 700 /openssl
- alle weiteren Pfadangaben beziehen sich auf das eben gewählte Verzeichnis
- Verzeichnis CA erstellen und minimale Rechte setzen mkdir CA ; chmod 700 CA
- Datei index.txt mit touch index.txt anlegen
- Datei serial mit echo "00" >serial anlegen
- Verzeichnis certs anlegen
- Verzeichnis csrs anlegen
- Verzeichnis crls anlegen
- Den Schlüssel und das Zertifikat der sub-CA in das Hauptverzeichnis kopieren und bei beiden die Rechte auf 400 setzen
- die openssl.cnf ebenfalls ins Hauptverzeichnis kopieren
- die Configdatei openssl.cnf an die aktuelle Konfiguration anpassen (Pfade)
- Script sign.sh anlegen und Rechte auf 700 setzen
- echo "#!/bin/sh" >> sign.sh
- echo "openssl ca -config /etc/openvpn/auth/opennet/openssl.cnf -days 3650 -in csrs $1.csr -out certs $1.crt" >> sign.sh
Windows
sinngemäß wie oben
- im Regelfall muss zuerst "Visual C++ 2008 Redistributables" installiert werden (z.B. hier)
- "Visual C++ 2008 Redistributables" mit Windows-Update aktualisieren!!
- openssl f. Windows besorgen und installieren (z.B. gleiche Quelle)
- Stammverzeichnis erstellen (im Beispiel f:\opennet\ca)
- Unterverzeichnisse \certs \csrs und \crls erstellen
- weiter geht's auf der Kommandozeile (cmd)
- ins Stammverzeichnis wechseln (f:\opennet\ca)
- Im Stammverzeichnis die Dateien serial (z.B. mit echo 00 >serial) erzeugen
- Die Datei index.txt z.B. mit notepad index.txt neu erstellen
- Die Opennet openssl.cnf besorgen und ins Stammverzeichnis kopieren
- von der Kommandozeile aus mit notepad openssl.cnf die Konfigurationsdatei öffnen
- nicht erschrecken, der Inhalt ist im notepad recht unaufgeräumt ;-) (es gibt bessere Editoren!)
- hinter der ersten Gruppe Rauten (#) findet Ihr "dir = xxxxx # Where everything is kept" wobei xxxxx für eine linuxtypische Pfadangabe steht (z.B. /etc/...)
- dort tragt Ihr den absoluten Pfad zum Stammverzeichnis ein (im Beispiel sieht das so aus: "dir = F:/Opennet/CA # Where everything is kept" (wichtig ist, das zwar windowstypisch das LW mit Doppelpunkt vorangestellt wird, die Slashs aber linuxtypisch sind (kein Backslash)) - speichern
- Erstellen des sub-CA keys und der zugehörigen Zertifikatsanfrage (.csr) mit
openssl req -days 3650 -nodes -new -keyout <name>-opennet-intermediate-CA.key -out <name>-opennet-intermediate-CA.csr -config openssl.cnf -extensions v3_ca
- Da Ihr im Stammverzeichnis wart, landen die Dateien auch gleich an der richtigen Stelle
- Die csr durch die Opennet Admins signieren lassen
- der reine crt Teil des Zertifikats muss dem ca.crt auf allen GWs angefügt werden
- der Pubkey(der pubkey für ssh) muss für den Benutzer opennetca@hog.on-i.de hinzugefügt werden
- Das Zertifikat ebenfalls ins Stammverzeichnis kopieren
- openssl.cnf überprüfen und anpassen (Pfad/Dateinamen für Zertifikat und privaten Schlüssel)
Anhänge
 Opennet-WorkshopZertifikate2011.pdf |
Opennet CA Logo |
