Opennet CA
Team |
Opennet CA |
Treffen: nur bei Bedarf |
Opennet Zertifizierungstelle |
Mitglieder: Christian W., Henning R., Jan C., Jörg P., Marco R., Mathias M., Ralf P., Ralph Oe., Rene E., Sebastian D., Thomas M. |
Kontakt: admin@opennet-initiative.de |
Inhaltsverzeichnis |
Einleitung
Die Opennet CA ist auf Server/heartofgold beheimatet und wird durch Opennet verwaltet. Die Opennet Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den OpenVPN Dienst innerhalb des Opennet Mesh Netzwerkes. OpenVPN wird eingesetzt, um die Nutzerzugänge abzusichern und Opennet User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.
Zertifikatsanfragen werden an csr@opennet-initiative.de gesendet. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei admin@opennet-initiative.de. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und SSH-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.
Kurzanleitungen
Zertifikate generieren
Kopieren -> Signieren -> Zurückkopieren per:
home-pc$ scp <name>.csr opennetca@ca.on-i.de:ca/opennet_users/csrs home-pc$ ssh opennetca@ca.on-i.de opennetca@heartofgold:~$ cd ca/opennet_users opennetca@heartofgold:~/ca/opennet_users$ ./sign.sh <name> opennetca@heartofgold:~/ca/opennet_users$ logout home-pc$ scp opennetca@ca.on-i.de:ca/opennet_users/certs/<name>.crt .
Gleiches vorgehen bei UGW Anfragen, hier opennet_ugws als Verzeichnis verwenden.
Zertifikate aktivieren
opennetca@heartofgold:~/opennet_users$ touch <common-name>
<common-name> ist der Name des Zertifikates.
Zertifikate deaktivieren
opennetca@heartofgold:~/opennet_users$ rm <common-name>
Das Verzeichnis opennet_users_disabled hat aktuell keine Bedeutung!
Gültige CAs
- Opennet Users Instanz: Opennet CA/opennet users (bis April 2015)
- Opennet Usergateway Instanz: Opennet CA/opennet ugw (bis April 2015)
- Opennet CA Instanz: http://ca.opennet-initiative.de/ (im Aufbau, 2014)
- Opennet CA CRL: http://ca.opennet-initiative.de/root.crl (im Aufbau, 2014)
Standardtexte
CSR-Anfrage von Users außerhalb unseres Wirkungsbereiches
Hallo XXX,
vielen Dank für deine Nachfrage. Wir konnten dich derzeit weder als Mitglied oder Interessent unseres Vereines Opennet Initiative e.V. mit dem Betrieb eines eigenen Zugangspunktes finden. Wenn Du Interesse hast, Dich in den Aufbau und Betrieb eines Stadt-WLAN-Netzes einzubringen, melde dich gern an und werde Mitglied im Verein. Näheres findest Du unter
http://www.opennet-initiative.de
Hinweis: Die im/durch das Opennet erstellten/zertifizierten Zertifikate sind außerhalb des Vereins wertlos. Hier bieten sich selbst signierte Zertifikate, kommerzielle Zertifikate oder auch Zertifikate der freien Zertifizierungsstelle CAcert an. Auch dort sind entsprechende Zugangsvoraussetzungen zu beachten.
VIele Gruesse aus Rostock
YYYY
--
Opennet Initiative e.V.
Anleitungen
Arbeit mit der Opennet CA bedeutet Umgang mit OpenSSL. Wir haben entsprechende Skripte vorbereitet siehe Server Installation/Opennet CA.
User Zertifikat signieren
Signieren funktioniert für einzelne CSR mit per entsprechender Batch-Datei sign.sh.
- die Zertifikatsanfrage in den Ordner csrs kopieren
- das Script mit dem Namen des zu signierenden .csr als Parameter starten (ohne die Endung .csr)
- Die zu signierende CSR sorgfälltig überprüfen, ob aktives Mitglid und AP Nummer stimmig
- Zertifikat durch touch freischalten: siehe oben
- Zertifikat an den Absender des CSRs schicken, Kopie an die Admin-Liste
Usergateway Zertifikat signieren
- root Zugang auf Server/heartofgold nötig
- ins Verzeichnis /etc/openvpn/auth/opennet_usergateways wechseln
- Signieren wie oben, Freischaltung nicht nötig
- Zertifikat zurück an den Absender und an die Admin-Liste