Opennet CA: Unterschied zwischen den Versionen

Version vom 30. Dezember 2013, 14:29 Uhr

Team

Opennet CA

Treffen: nur bei Bedarf

Opennet Zertifizierungstelle

Mitglieder: Christian W., Henning R., Jan C., Jörg P., Marco R., Mathias M., Ralf P., Ralph Oe., Rene E., Sebastian D., Thomas M.

Kontakt: admin@opennet-initiative.de

Einleitung

Die Opennet CA ist auf Server/heartofgold beheimatet und wird durch Opennet verwaltet. Die Opennet Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den OpenVPN Dienst innerhalb des Opennet Mesh Netzwerkes. OpenVPN wird eingesetzt, um die Nutzerzugänge abzusichern und Opennet User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.

Zertifikatsanfragen werden an csr@opennet-initiative.de gesendet. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei admin@opennet-initiative.de. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und SSH-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.

Kurzanleitungen

Zertifikate generieren

Kopieren -> Signieren -> Zurückkopieren per:

home-pc$ scp <name>.csr opennetca@ca.on-i.de:ca/opennet_users/csrs
home-pc$ ssh opennetca@ca.on-i.de
opennetca@heartofgold:~$ cd ca/opennet_users
opennetca@heartofgold:~/ca/opennet_users$ ./sign.sh <name>
opennetca@heartofgold:~/ca/opennet_users$ logout
home-pc$ scp opennetca@ca.on-i.de:ca/opennet_users/certs/<name>.crt .

Gleiches vorgehen bei UGW Anfragen, hier opennet_ugws als Verzeichnis verwenden.

Zertifikate aktivieren

 opennetca@heartofgold:~/opennet_users$ touch <common-name>

<common-name> ist der Name des Zertifikates.

Zertifikate deaktivieren

 opennetca@heartofgold:~/opennet_users$ rm <common-name>

Das Verzeichnis opennet_users_disabled hat aktuell keine Bedeutung!

Gültige CAs

• Opennet Users Instanz: Opennet CA/opennet users (bis April 2015)
• Opennet Usergateway Instanz: Opennet CA/opennet ugw (bis April 2015)
• Opennet CA Instanz: http://ca.opennet-initiative.de/ (im Aufbau, 2014)
• Opennet CA CRL: http://ca.opennet-initiative.de/root.crl (im Aufbau, 2014)

Standardtexte

CSR-Anfrage von Users außerhalb unseres Wirkungsbereiches

Anleitungen

Arbeit mit der Opennet CA bedeutet Umgang mit OpenSSL. Wir haben entsprechende Skripte vorbereitet siehe Server Installation/OpenSSL CA.

User Zertifikat signieren

Signieren funktioniert für einzelne CSR mit per entsprechender Batch-Datei sign.sh.

• die Zertifikatsanfrage in den Ordner csrs kopieren
• das Script mit dem Namen des zu signierenden .csr als Parameter starten (ohne die Endung .csr)
• Die zu signierende CSR sorgfälltig überprüfen, ob aktives Mitglid und AP Nummer stimmig
• Zertifikat durch touch freischalten: siehe oben
• Zertifikat an den Absender des CSRs schicken, Kopie an die Admin-Liste

Usergateway Zertifikat signieren

• root Zugang auf Server/heartofgold nötig
• ins Verzeichnis /etc/openvpn/auth/opennet_usergateways wechseln
• Signieren wie oben, Freischaltung nicht nötig
• Zertifikat zurück an den Absender und an die Admin-Liste

Anhänge

• 

  Opennet-WorkshopZertifikate2011.pdf

• 

  Opennet CA Logo