Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen
Aus Opennet
Leo (Diskussion | Beiträge) (→Testfälle) |
Leo (Diskussion | Beiträge) (→Testfälle) |
||
Zeile 75: | Zeile 75: | ||
==== Testfälle ==== | ==== Testfälle ==== | ||
− | UGW-Server UGW-Client Szenario | + | |
− | + | #Test UGW-Server UGW-Client Szenario | |
− | ------------------------------------------------------------------------------------- | + | certchain cert certchain cert |
− | alt alt alt alt alles alt, wie bisher | + | ------------------------------------------------------------------------------------------- |
− | neu neu alt alt nur Server aktualisiert und Clients noch nicht | + | 1 alt alt alt alt alles alt, wie bisher |
− | neu neu neu neu auch UGW aktualisiert | + | 2 neu neu alt alt nur Server aktualisiert und Clients noch nicht |
+ | 3 neu neu neu neu auch UGW aktualisiert | ||
+ | |||
+ | Ergebnis | ||
+ | zu 1) geht | ||
+ | zu 2) geht | ||
+ | zu 3) geht | ||
+ | |||
+ | Liste Cert (zum identifieren in Datei) | ||
+ | |||
+ | Last Chars CN Expire date Comment | ||
+ | ------------------------------------------------------- | ||
+ | 7wzA93Y= opennet-vpn-ugw.ca.on - 2023 - old | ||
+ | VgUYebE= opennet-vpn-ugw.ca.on - 2032 - new | ||
+ | |||
+ | ziWuGw== opennet-server.ca.on - 2024 - old | ||
+ | CTPgmM6y opennet-server.ca.on - 2032 - new | ||
+ | |||
+ | TALI5FU= opennet-root.ca.on - 2033 - old | ||
+ | RSWnxw== opennet-root.ca.on - 2037 - cert is defect because of signing problems | ||
+ | DCkOeU0= opennet-root.ca.on - 2038 - new fixed cert | ||
+ | |||
+ | IRZ3CMQ== 2.1.ugw.on - 2025 - old | ||
+ | JWGzI1rI= 2.50.ugw.on - 2033 - new |
Version vom 13. Juli 2023, 21:39 Uhr
Inhaltsverzeichnis |
Situation
- Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe Opennet CA und Benutzer:MathiasMahnke/CA Cert Renewal 2013
- wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
- Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca)
- Sub-CA Resign
- Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen
- ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)
TODO Liste 2022/2023
Aktueller Prozess - Resign mit vorhandenen Keys:
- (erledigt) CA Zertifikate verlängern
- (erledigt) Entscheidung: Seriennummern nicht übernehmen
- (erledigt) root CA 5 Jahre verlängert (Ende 2037)
- (erledigt) alle CAs wurden verlängert (resign) von aktualisierter root CA (private keys sind unverändert)
- (erledigt) Wiki Seite mit CA Übersicht aktualisieren
- (erledigt) Git aktualisieren
- (erledigt) Opennet Firmware on-certificates und OpenVPN Pakete aktualisieren
- (erledigt) auf Opennet CA Server (amano)
- (erledigt) CA crt Dateien einspielen
- (erledigt) ca-bundle ablegen (neues bundle siehe https://github.com/opennet-initiative/ca/blob/main/web/public/opennet-ca-bundle.tar.gz)
- (erledigt) index.txt Rebuild: https://forums.openvpn.net/viewtopic.php?t=9999
- (erledigt) config (openssl) Datei anpassen
- (erledigt) ca/${ONI_CA_X}/opennetca.cfg anpassen
- (erledigt) wenn jetzt neues client crt neu erstellt wird, sollte dieses selbst mit der alten CA funktionieren, weil die private keys der CAs sich nicht geändert haben
- auf Opennet Servern die ca certchain ersetzen mit ansible (hier sollten alle VPN Verbindungen weiter funktionieren weil private Key der CAs unverändert ist)
- ? service discovery hat damals https genutzt (mit unserer ca) aber wollten wir auf http (unencrypted) umstellen
- jetzt können wir neue Server Zertifikate ausstellen und in Betrieb nehmen
- Firmware Aktualisieren oder alte Firmware mit neuem on-certificates Paket versorgen
- Opennet Server + Client Zertifikate erneuern/austauschen
- einige Opennet User-AP/UGW-AP Zertifikate erneuern/austauschen
- Beginn großflächig Nutzer-APs umstellen
- wir werden den Standardprozess nutzen (neues Zertifikat auf dem AP generieren und dieses dann von neuer CA signieren)
- (erledigt) testen, ob bei alten+neuen Firmware der "Generate" Button für neue Schlüsselerzeugung funktioniert, trotz vorhandem Key
- Idee: Felder vorausfüllen (Emailadresse & co)
Prozedur zum Testen neuer Zertifikate
Voraussetzung:
- SSH Zugriff auf Server gai
- Zugriff auf ein UGW (mit neuem und altem Zertifikat)
Ablauf:
- ssh into Server gai
cd /etc/openvpn/opennet_ugw_2022_test vim ../opennet_ugw_2022_test.conf /usr/sbin/openvpn --config ../opennet_ugw_2022_test.conf # this starts OpenVPN in foreground on port 16999
- ssh into your UGW
# create config file cat > mesh_openvpn_gai_opennet_initiative_de_16999_udp.conf <<EOF #!/bin/sh remote gai.opennet-initiative.de 16999 udp ca /etc/ssl/certs/opennet-initiative.de/opennet-server_bundle.pem # try new ca bundles here remote-cert-tls server cd /etc/openvpn/opennet_ugw cert on_ugws.crt # try new ugw cert here key on_ugws.key client nobind explicit-exit-notify 1 persist-tun persist-key mute-replay-warnings dev tap dev-type tap txqueuelen 1000 EOF # start openvpn tunnel via openvpn --config mesh_openvpn_gai_opennet_initiative_de_1602_udp.conf
Testfälle
#Test UGW-Server UGW-Client Szenario certchain cert certchain cert ------------------------------------------------------------------------------------------- 1 alt alt alt alt alles alt, wie bisher 2 neu neu alt alt nur Server aktualisiert und Clients noch nicht 3 neu neu neu neu auch UGW aktualisiert
Ergebnis
zu 1) geht zu 2) geht zu 3) geht
Liste Cert (zum identifieren in Datei)
Last Chars CN Expire date Comment ------------------------------------------------------- 7wzA93Y= opennet-vpn-ugw.ca.on - 2023 - old VgUYebE= opennet-vpn-ugw.ca.on - 2032 - new ziWuGw== opennet-server.ca.on - 2024 - old CTPgmM6y opennet-server.ca.on - 2032 - new TALI5FU= opennet-root.ca.on - 2033 - old RSWnxw== opennet-root.ca.on - 2037 - cert is defect because of signing problems DCkOeU0= opennet-root.ca.on - 2038 - new fixed cert IRZ3CMQ== 2.1.ugw.on - 2025 - old JWGzI1rI= 2.50.ugw.on - 2033 - new