Opennet CA: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Anleitungen)
(Gültige CAs)
(28 dazwischenliegende Versionen von einem Benutzer werden nicht angezeigt)
Zeile 2: Zeile 2:
 
|description=Opennet Zertifizierungstelle
 
|description=Opennet Zertifizierungstelle
 
|nextMeeting=nur bei Bedarf
 
|nextMeeting=nur bei Bedarf
|members=[[Benutzer:Christianw|Christian W.]], [[Benutzer:Age|Henning R.]], [[Benutzer:JanC|Jan C.]], [[Benutzer:J.P.|Jörg P.]], [[Benutzer:Moh|Marco R.]], [[Benutzer:MathiasMahnke|Mathias M.]], [[Benutzer:Dr.rp|Ralf P.]], [[Benutzer:Mdbw|Ralph Oe.]], [[Benutzer:ap46rene|Rene E.]], [[Benutzer:Sebastian|Sebastian D.]], [[Benutzer:Thm|Thomas M.]]
+
|members=[[Benutzer:Christianw|Christian W.]], [[Benutzer:Age|Henning R.]], [[Benutzer:J.P.|Jörg P.]], [[Benutzer:MathiasMahnke|Mathias M.]], [[Benutzer:Oyla|Philipp M.]], [[Benutzer:Lars|Lars K.]], [[Benutzer:JanC|Jan C.]]; derzeit inaktiv: [[Benutzer:Moh|Marco R.]], [[Benutzer:Mdbw|Ralph Oe.]], [[Benutzer:ap46rene|Rene E.]], [[Benutzer:Sebastian|Sebastian D.]], [[Benutzer:Thm|Thomas M.]],[[Benutzer:Dr.rp|Ralf P.]]
 
|kontakt=[mailto:admin@opennet-initiative.de admin@opennet-initiative.de]
 
|kontakt=[mailto:admin@opennet-initiative.de admin@opennet-initiative.de]
 
|logo=OpennetCA.jpg
 
|logo=OpennetCA.jpg
Zeile 9: Zeile 9:
 
== Einleitung ==
 
== Einleitung ==
  
Die Opennet CA ist auf [[Server/heartofgold]] beheimatet und wird durch Opennet verwaltet. Die Opennet Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den [[OpenVPN]] Dienst innerhalb des Opennet Mesh Netzwerkes. [[OpenVPN]] wird eingesetzt, um die Nutzerzugänge abzusichern und Opennet User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.
+
Die Opennet CA ist auf [[Server/amano]] beheimatet und wird durch Opennet verwaltet. Die Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den [[OpenVPN]] Dienst innerhalb des Opennet Netzwerkes. [[OpenVPN]] wird eingesetzt, um die Nutzerzugänge abzusichern und User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.
  
Zertifikatsanfragen werden an [mailto:csr@opennet-initiative.de csr@opennet-initiative.de] gesendet. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei [mailto:admin@opennet-initiative.de admin@opennet-initiative.de]. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und SSH-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.
+
Zertifikatsanfragen werden unter https://ca.opennet-initiative.de hochgeladen. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei [mailto:admin@opennet-initiative.de admin@opennet-initiative.de]. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und HTTPS-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.
  
== Kurzanleitungen ==
+
== Anleitung ==
  
=== Zertifikate generieren ===
+
=== Zertifikatsanfrage hochladen ===
  
Kopieren -> Signieren -> Zurückkopieren per:
+
https://ca.opennet-initiative.de/csr/
  
home-pc$ scp <name>.csr opennetca@ca.on-i.de:ca/opennet_users/csrs
+
=== Zertifikatserstellung freigeben ===
home-pc$ ssh opennetca@ca.on-i.de
+
opennetca@heartofgold:~$ cd ca/opennet_users
+
opennetca@heartofgold:~/ca/opennet_users$ ./sign.sh <name>
+
opennetca@heartofgold:~/ca/opennet_users$ logout
+
home-pc$ scp opennetca@ca.on-i.de:ca/opennet_users/certs/<name>.crt .
+
  
Gleiches vorgehen bei UGW Anfragen, hier opennet_ugws als Verzeichnis verwenden.
+
https://ca.opennet-initiative.de/internal/csr.html (Opennet CA Team)
  
=== Zertifikate aktivieren ===
+
=== Zertifikatsstatus abfragen ===
+
  opennetca@heartofgold:~/opennet_users$ touch <common-name>
+
  
<common-name> ist der Name des Zertifikates.
+
https://ca.opennet-initiative.de/
  
=== Zertifikate deaktivieren ===
+
== Dokumentation ==
  
  opennetca@heartofgold:~/opennet_users$ rm <common-name>
+
Die technische Dokumentation des Opennet CA Backend Systems findet sich unter [[Server Installation/Opennet CA]].
  
Das Verzeichnis opennet_users_disabled hat aktuell keine Bedeutung!
+
Das Einbinden von PKCS#12 Zertifikaten - notwendig für Opennet CA Teammitglieder - wird unter [[Browser Zertifikate]] beschrieben.
  
 
== Gültige CAs ==
 
== Gültige CAs ==
  
* Opennet Users Instanz: [[Opennet CA/opennet users]] (bis April 2015)
+
Bis April 2015:
* Opennet Usergateway Instanz: [[Opennet CA/opennet ugw]] (bis April 2015)
+
* Opennet Users Instanz: [[Opennet CA/opennet users]]  
* Opennet CA Instanz: http://ca.opennet-initiative.de/ (im Aufbau, 2014)
+
* Opennet Usergateway Instanz: [[Opennet CA/opennet ugw]]  
* Opennet CA CRL: http://ca.opennet-initiative.de/root.crl (im Aufbau, 2014)
+
  
== Standardtexte ==
+
Seit Januar 2014:
 +
* Opennet CA Webinterface: https://ca.opennet-initiative.de/
 +
* Opennet Root CA ''opennet-root.ca.on'', Laufzeit 20 Jahre, 4096 bit RSA Key, SHA-512 Signatur, Self Signed, CRL Laufzeit 30 Tage
 +
** Opennet VPN UGW CA ''opennet-vpn-ugw.ca.on'', Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
 +
** Opennet VPN User CA ''opennet-vpn-user.ca.on'', Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
 +
** Opennet Clients CA ''opennet-client.ca.on'', Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
 +
** Opennet Server CA ''opennet-server.ca.on'', Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
  
=== CSR-Anfrage von Users außerhalb unseres Wirkungsbereiches ===
+
{| class="wikitable"
 +
|-
 +
!
 +
!opennet-root.ca.on (Serial D09411CA45BAB5F1)
 +
|-
 +
!CA
 +
|''Opennet Root CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group''
 +
|-
 +
!Key
 +
|4096 bit, RSA, SHA-512
 +
|-
 +
!DN
 +
|C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-root.ca.on, emailAddress=admin@opennet-initiative.de
 +
|-
 +
!Usage
 +
|keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE
 +
|-
 +
!CRL
 +
|fullname=URI:http://ca.opennet-initiative.de/root.crl<br>Signed SHA-512 + X.509 Subject Key Identifier, Valid 1 Month
 +
|-
 +
!Ext
 +
|nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/root.crl, nsRevocationUrl=http://ca.opennet-initiative.de/root.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
 +
|-
 +
!Sign
 +
|Self Signed, SHA-512, valid 2013/12/22 until 2033/12/22
 +
|-
 +
!Hashes
 +
|DN Hash 9106e34c<br>X.509 Subject Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1<br>MD5 Fingerprint BF:C9:45:7C:E0:90:39:62:5B:92:7B:4E:22:53:EF:1F<br>SHA1 Fingerprint D5:34:CE:41:9E:F7:9F:CE:60:08:A8:15:FD:42:2C:8A:26:08:2F:22
 +
|-
 +
!URL
 +
|http://ca.opennet-initiative.de/root.crt
 +
|-
 +
|}
  
<div style="background-color:#eeeeee; padding:5px;">
+
{| class="wikitable"
Hallo XXX,
+
|-
 +
!
 +
!opennet-vpn-ugw.ca.on (ID 3490EBDBA1EB1335)
 +
|-
 +
!CA
 +
|''Opennet VPN UGW Sub-CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group''
 +
|-
 +
!Key
 +
|2048 bit, RSA, SHA-256
 +
|-
 +
!DN
 +
|C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-vpn-ugw.ca.on, emailAddress=admin@opennet-initiative.de
 +
|-
 +
!Usage
 +
|keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
 +
|-
 +
!CRL
 +
|fullname=URI:http://ca.opennet-initiative.de/vpnugw.crl<br>Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
 +
|-
 +
!Ext
 +
|nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/vpnugw.crl, nsRevocationUrl=http://ca.opennet-initiative.de/vpnugw.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
 +
|-
 +
!Sign
 +
|opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2013/12/22 until 2023/12/22
 +
|-
 +
!Hashes
 +
|DN Hash 216d4987<br>X.509 Subject Key Identifier C1:1F:4F:E4:A7:49:65:4B:0E:F8:E4:65:16:E2:28:76:49:A2:68:3B<br>X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1<br>MD5 Fingerprint E2:07:61:C2:1D:C4:21:3B:12:E2:6A:7B:32:E0:5F:BE<br>SHA1 Fingerprint 23:95:C0:78:91:14:40:BA:FC:F9:5D:FC:49:60:6D:8C:70:BE:34:63
 +
|-
 +
!URL
 +
|http://ca.opennet-initiative.de/vpnugw.crt
 +
|-
 +
|}
  
vielen Dank für deine Nachfrage. Wir konnten dich derzeit weder als Mitglied oder Interessent unseres Vereines Opennet Initiative e.V. mit dem Betrieb eines eigenen Zugangspunktes finden. Wenn  Du Interesse hast, Dich in den Aufbau und Betrieb eines Stadt-WLAN-Netzes einzubringen, melde dich gern an und werde Mitglied im Verein. Näheres findest Du unter
+
{| class="wikitable"
 +
|-
 +
!
 +
!opennet-vpn-user.ca.on (ID F066E8B16DBD395F)
 +
|-
 +
!CA
 +
|''Opennet VPN User Sub-CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group''
 +
|-
 +
!Key
 +
|2048 bit, RSA, SHA-256
 +
|-
 +
!DN
 +
|C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-vpn-user.ca.on, emailAddress=admin@opennet-initiative.de
 +
|-
 +
!Usage
 +
|keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
 +
|-
 +
!CRL
 +
|fullname=URI:http://ca.opennet-initiative.de/vpnuser.crl<br>Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
 +
|-
 +
!Ext
 +
|nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/vpnuser.crl, nsRevocationUrl=http://ca.opennet-initiative.de/vpnuser.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
 +
|-
 +
!Sign
 +
|opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2013/12/22 until 2023/12/22
 +
|-
 +
!Hashes
 +
|DN Hash 69a85ad3<br>X.509 Subject Key Identifier FA:75:C4:8D:8A:AA:D1:81:E1:29:15:A6:B4:55:E3:C0:32:05:F6:C7<br>X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1<br>MD5 Fingerprint B9:C4:E6:00:A0:48:93:7C:07:DE:D1:F3:08:04:04:02<br>SHA1 Fingerprint D5:5C:FE:61:F8:AA:2A:F8:05:B2:42:F3:2B:8C:A7:83:AA:78:C7:E9
 +
|-
 +
!URL
 +
|http://ca.opennet-initiative.de/vpnuser.crt
 +
|-
 +
|}
  
http://www.opennet-initiative.de
+
{| class="wikitable"
 +
|-
 +
!
 +
!opennet-client.ca.on (ID 361363A4F9780D16)
 +
|-
 +
!CA
 +
|''Opennet Client Sub-CA, Issued Jan 2014 Mathias Mahnke, Maintainer Opennet Admin Group''
 +
|-
 +
!Key
 +
|2048 bit, RSA, SHA-256
 +
|-
 +
!DN
 +
|C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-client.ca.on, emailAddress=admin@opennet-initiative.de
 +
|-
 +
!Usage
 +
|keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
 +
|-
 +
!CRL
 +
|fullname=URI:http://ca.opennet-initiative.de/client.crl<br>Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
 +
|-
 +
!Ext
 +
|nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/client.crl, nsRevocationUrl=http://ca.opennet-initiative.de/client.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
 +
|-
 +
!Sign
 +
|opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2014/01/19 until 2024/01/19
 +
|-
 +
!Hashes
 +
|DN Hash d8003700<br>X.509 Subject Key Identifier 77:97:CF:E9:CC:9A:47:FF:84:15:63:63:90:19:A0:99:82:28:2D:BA<br>X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1<br>MD5 Fingerprint 4E:EE:13:0B:C9:9E:B3:57:99:54:9D:D5:98:6B:7B:20<br>SHA1 Fingerprint 89:83:57:E5:78:11:31:E5:AF:D9:27:43:79:D9:CB:80:DB:36:46:FF
 +
|-
 +
!URL
 +
|http://ca.opennet-initiative.de/client.crt
 +
|-
 +
|}
  
'''Hinweis:''' Die im/durch das Opennet erstellten/zertifizierten Zertifikate sind außerhalb des Vereins wertlos. Hier bieten sich selbst signierte Zertifikate, kommerzielle Zertifikate oder auch Zertifikate der freien Zertifizierungsstelle CAcert an. Auch dort sind entsprechende Zugangsvoraussetzungen zu beachten.
+
{| class="wikitable"
 +
|-
 +
!
 +
!opennet-server.ca.on (ID 9E76CF710F71FEF1)
 +
|-
 +
!CA
 +
|''Opennet Server Sub-CA, Issued Mar 2014 Mathias Mahnke, Maintainer Opennet Admin Group''
 +
|-
 +
!Key
 +
|2048 bit, RSA, SHA-256
 +
|-
 +
!DN
 +
|C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-server.ca.on, emailAddress=admin@opennet-initiative.de
 +
|-
 +
!Usage
 +
|keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
 +
|-
 +
!CRL
 +
|fullname=URI:http://ca.opennet-initiative.de/server.crl<br>Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
 +
|-
 +
!Ext
 +
|nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/server.crl, nsRevocationUrl=http://ca.opennet-initiative.de/server.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
 +
|-
 +
!Sign
 +
|opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2014/01/19 until 2024/01/19
 +
|-
 +
!Hashes
 +
|DN Hash 7e8721dd<br>X.509 Subject Key Identifier C1:C2:B5:2E:E4:85:E0:E9:43:D3:9A:4B:A2:39:76:94:0F:E1:C1:41<br>X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1<br>MD5 Fingerprint 42:C5:3C:C1:D2:B7:2A:81:46:97:69:D6:4A:1D:7C:02<br>SHA1 Fingerprint 46:54:0B:FD:AE:FD:FD:4E:0E:84:93:B5:44:23:31:7B:57:71:39:AB
 +
|-
 +
!URL
 +
|http://ca.opennet-initiative.de/server.crt
 +
|-
 +
|}
  
VIele Gruesse aus Rostock
+
== TODO ==
  
YYYY
+
* Server Sub-CA hat fehlerhaften CRL Eintrag, ggf. Resign?
 
+
* "Cancel" Funktion in CSR Webinterface?
--
+
 
+
Opennet Initiative e.V.
+
 
+
http://www.opennet-initiative.de/
+
</div>
+
 
+
== Anleitungen ==
+
 
+
Arbeit mit der Opennet CA bedeutet Umgang mit OpenSSL. Wir haben entsprechende Skripte vorbereitet siehe [[Server Installation/OpenSSL CA]].
+
 
+
=== User Zertifikat signieren ===
+
 
+
Signieren funktioniert für einzelne CSR mit per entsprechender Batch-Datei ''sign.sh''.
+
 
+
* die Zertifikatsanfrage in den Ordner csrs kopieren
+
* das Script mit dem Namen des zu signierenden .csr als Parameter starten (ohne die Endung .csr)
+
* Die zu signierende CSR sorgfälltig überprüfen, ob aktives Mitglid und AP Nummer stimmig
+
* Zertifikat durch touch freischalten: siehe oben
+
* Zertifikat an den Absender des CSRs schicken, Kopie an die Admin-Liste
+
 
+
=== Usergateway Zertifikat signieren ===
+
 
+
* root Zugang auf [[Server/heartofgold]] nötig
+
* ins Verzeichnis /etc/openvpn/auth/opennet_usergateways wechseln
+
* Signieren wie oben, Freischaltung nicht nötig
+
* Zertifikat zurück an den Absender und an die Admin-Liste
+
  
 
== Anhänge ==
 
== Anhänge ==
Zeile 97: Zeile 227:
 
Datei:Opennet-WorkshopZertifikate2011.pdf|Opennet-WorkshopZertifikate2011.pdf
 
Datei:Opennet-WorkshopZertifikate2011.pdf|Opennet-WorkshopZertifikate2011.pdf
 
Datei:OpennetCA.jpg|Opennet CA Logo
 
Datei:OpennetCA.jpg|Opennet CA Logo
<gallery>
+
</gallery>
  
 
[[Kategorie:Anleitungen]]
 
[[Kategorie:Anleitungen]]
 
[[Kategorie:Dienste]]
 
[[Kategorie:Dienste]]
 
[[Kategorie:Verein]]
 
[[Kategorie:Verein]]

Version vom 9. März 2019, 21:20 Uhr

Team
OpennetCA.jpg
Opennet CA
Treffen: nur bei Bedarf
Opennet Zertifizierungstelle
Mitglieder:
Christian W., Henning R., Jörg P., Mathias M., Philipp M., Lars K., Jan C.; derzeit inaktiv: Marco R., Ralph Oe., Rene E., Sebastian D., Thomas M.,Ralf P.
Kontakt:
admin@opennet-initiative.de


Inhaltsverzeichnis

Einleitung

Die Opennet CA ist auf Server/amano beheimatet und wird durch Opennet verwaltet. Die Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den OpenVPN Dienst innerhalb des Opennet Netzwerkes. OpenVPN wird eingesetzt, um die Nutzerzugänge abzusichern und User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.

Zertifikatsanfragen werden unter https://ca.opennet-initiative.de hochgeladen. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei admin@opennet-initiative.de. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und HTTPS-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.

Anleitung

Zertifikatsanfrage hochladen

https://ca.opennet-initiative.de/csr/

Zertifikatserstellung freigeben

https://ca.opennet-initiative.de/internal/csr.html (Opennet CA Team)

Zertifikatsstatus abfragen

https://ca.opennet-initiative.de/

Dokumentation

Die technische Dokumentation des Opennet CA Backend Systems findet sich unter Server Installation/Opennet CA.

Das Einbinden von PKCS#12 Zertifikaten - notwendig für Opennet CA Teammitglieder - wird unter Browser Zertifikate beschrieben.

Gültige CAs

Bis April 2015:

Seit Januar 2014:

  • Opennet CA Webinterface: https://ca.opennet-initiative.de/
  • Opennet Root CA opennet-root.ca.on, Laufzeit 20 Jahre, 4096 bit RSA Key, SHA-512 Signatur, Self Signed, CRL Laufzeit 30 Tage
    • Opennet VPN UGW CA opennet-vpn-ugw.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
    • Opennet VPN User CA opennet-vpn-user.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
    • Opennet Clients CA opennet-client.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
    • Opennet Server CA opennet-server.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
opennet-root.ca.on (Serial D09411CA45BAB5F1)
CA Opennet Root CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group
Key 4096 bit, RSA, SHA-512
DN C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-root.ca.on, emailAddress=admin@opennet-initiative.de
Usage keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE
CRL fullname=URI:http://ca.opennet-initiative.de/root.crl
Signed SHA-512 + X.509 Subject Key Identifier, Valid 1 Month
Ext nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/root.crl, nsRevocationUrl=http://ca.opennet-initiative.de/root.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
Sign Self Signed, SHA-512, valid 2013/12/22 until 2033/12/22
Hashes DN Hash 9106e34c
X.509 Subject Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1
MD5 Fingerprint BF:C9:45:7C:E0:90:39:62:5B:92:7B:4E:22:53:EF:1F
SHA1 Fingerprint D5:34:CE:41:9E:F7:9F:CE:60:08:A8:15:FD:42:2C:8A:26:08:2F:22
URL http://ca.opennet-initiative.de/root.crt
opennet-vpn-ugw.ca.on (ID 3490EBDBA1EB1335)
CA Opennet VPN UGW Sub-CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group
Key 2048 bit, RSA, SHA-256
DN C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-vpn-ugw.ca.on, emailAddress=admin@opennet-initiative.de
Usage keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
CRL fullname=URI:http://ca.opennet-initiative.de/vpnugw.crl
Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
Ext nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/vpnugw.crl, nsRevocationUrl=http://ca.opennet-initiative.de/vpnugw.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
Sign opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2013/12/22 until 2023/12/22
Hashes DN Hash 216d4987
X.509 Subject Key Identifier C1:1F:4F:E4:A7:49:65:4B:0E:F8:E4:65:16:E2:28:76:49:A2:68:3B
X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1
MD5 Fingerprint E2:07:61:C2:1D:C4:21:3B:12:E2:6A:7B:32:E0:5F:BE
SHA1 Fingerprint 23:95:C0:78:91:14:40:BA:FC:F9:5D:FC:49:60:6D:8C:70:BE:34:63
URL http://ca.opennet-initiative.de/vpnugw.crt
opennet-vpn-user.ca.on (ID F066E8B16DBD395F)
CA Opennet VPN User Sub-CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group
Key 2048 bit, RSA, SHA-256
DN C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-vpn-user.ca.on, emailAddress=admin@opennet-initiative.de
Usage keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
CRL fullname=URI:http://ca.opennet-initiative.de/vpnuser.crl
Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
Ext nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/vpnuser.crl, nsRevocationUrl=http://ca.opennet-initiative.de/vpnuser.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
Sign opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2013/12/22 until 2023/12/22
Hashes DN Hash 69a85ad3
X.509 Subject Key Identifier FA:75:C4:8D:8A:AA:D1:81:E1:29:15:A6:B4:55:E3:C0:32:05:F6:C7
X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1
MD5 Fingerprint B9:C4:E6:00:A0:48:93:7C:07:DE:D1:F3:08:04:04:02
SHA1 Fingerprint D5:5C:FE:61:F8:AA:2A:F8:05:B2:42:F3:2B:8C:A7:83:AA:78:C7:E9
URL http://ca.opennet-initiative.de/vpnuser.crt
opennet-client.ca.on (ID 361363A4F9780D16)
CA Opennet Client Sub-CA, Issued Jan 2014 Mathias Mahnke, Maintainer Opennet Admin Group
Key 2048 bit, RSA, SHA-256
DN C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-client.ca.on, emailAddress=admin@opennet-initiative.de
Usage keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
CRL fullname=URI:http://ca.opennet-initiative.de/client.crl
Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
Ext nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/client.crl, nsRevocationUrl=http://ca.opennet-initiative.de/client.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
Sign opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2014/01/19 until 2024/01/19
Hashes DN Hash d8003700
X.509 Subject Key Identifier 77:97:CF:E9:CC:9A:47:FF:84:15:63:63:90:19:A0:99:82:28:2D:BA
X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1
MD5 Fingerprint 4E:EE:13:0B:C9:9E:B3:57:99:54:9D:D5:98:6B:7B:20
SHA1 Fingerprint 89:83:57:E5:78:11:31:E5:AF:D9:27:43:79:D9:CB:80:DB:36:46:FF
URL http://ca.opennet-initiative.de/client.crt
opennet-server.ca.on (ID 9E76CF710F71FEF1)
CA Opennet Server Sub-CA, Issued Mar 2014 Mathias Mahnke, Maintainer Opennet Admin Group
Key 2048 bit, RSA, SHA-256
DN C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-server.ca.on, emailAddress=admin@opennet-initiative.de
Usage keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer,
CRL fullname=URI:http://ca.opennet-initiative.de/server.crl
Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month
Ext nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/server.crl, nsRevocationUrl=http://ca.opennet-initiative.de/server.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA
Sign opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2014/01/19 until 2024/01/19
Hashes DN Hash 7e8721dd
X.509 Subject Key Identifier C1:C2:B5:2E:E4:85:E0:E9:43:D3:9A:4B:A2:39:76:94:0F:E1:C1:41
X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1
MD5 Fingerprint 42:C5:3C:C1:D2:B7:2A:81:46:97:69:D6:4A:1D:7C:02
SHA1 Fingerprint 46:54:0B:FD:AE:FD:FD:4E:0E:84:93:B5:44:23:31:7B:57:71:39:AB
URL http://ca.opennet-initiative.de/server.crt

TODO

  • Server Sub-CA hat fehlerhaften CRL Eintrag, ggf. Resign?
  • "Cancel" Funktion in CSR Webinterface?

Anhänge

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge