Opennet CA/CA Cert Renewal 2023: Unterschied zwischen den Versionen
Aus Opennet
Leo (Diskussion | Beiträge) (→Situation) |
Leo (Diskussion | Beiträge) |
||
Zeile 2: | Zeile 2: | ||
* Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe [[Opennet CA]] und [[Benutzer:MathiasMahnke/CA Cert Renewal 2013]] | * Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe [[Opennet CA]] und [[Benutzer:MathiasMahnke/CA Cert Renewal 2013]] | ||
* wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate | * wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate | ||
+ | * Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca) | ||
+ | * Sub-CA Resign | ||
+ | * Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen | ||
+ | ** ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn) | ||
+ | |||
=== TODO Liste (neu) === | === TODO Liste (neu) === | ||
− | + | angenommen: neu CAs sind generiert | |
− | + | - erstelle neues server-ca-bundle (einfach neue CA Zertifikate hinzufügen) | |
− | + | - Server: server-ca-bundle auf OpenVPN Server einspielen. OpenVPN muss neuen CAs vertrauen. | |
− | + | - AP: für alle APs neues Zertifikat erstellen (mit neuer CA) | |
− | + | - AP: Zertifikat auf AP konfigurieren/aktiviere | |
− | + | - AP: neues certificate-bundle einspielen/kopieren (on-certificates) | |
− | + | - als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind) | |
+ | |||
+ | |||
=== TODO Liste (alt) === | === TODO Liste (alt) === |
Version vom 15. Mai 2023, 21:58 Uhr
Situation
- Sub-CAs laufen Ende 2023/Anfang 2024 ab, siehe Opennet CA und Benutzer:MathiasMahnke/CA Cert Renewal 2013
- wir müssen diese erneuern + alle daraus abgeleiteten Zertifikate
- Entscheidung über CA Parameter - erledigt durch Mathias (mittels xca)
- Sub-CA Resign
- Prüfen, ob abgelaufene OpenVPN Zertifikate überhaupt die Funktion beeinträchtigen
- ja, laut vertrauenswürdigen Internetquellen ist die Zertifikatsablaufprüfung ein integraler nicht umgehbarer Bestandteil von OpenVPN (https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn)
TODO Liste (neu)
angenommen: neu CAs sind generiert - erstelle neues server-ca-bundle (einfach neue CA Zertifikate hinzufügen) - Server: server-ca-bundle auf OpenVPN Server einspielen. OpenVPN muss neuen CAs vertrauen. - AP: für alle APs neues Zertifikat erstellen (mit neuer CA) - AP: Zertifikat auf AP konfigurieren/aktiviere - AP: neues certificate-bundle einspielen/kopieren (on-certificates) - als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind)
TODO Liste (alt)
- (todo) Neue CAs zu OpenVPN CA-File hinzufügen
- (todo) Server Sub-CA erzeugen u. veröeffentlichen
- brauch wir die Server Sub-CA überhaupt noch?
- (todo) CA File mit Certchain zum Download anbieten
- (todo) CA Bundle File zum Download anbieten
- (todo) neue Struktur auf allen VPN Server übertragen
- (todo) neue Schlüsselpaare je VPN Instanz erzeugen, signieren u. einbetten
- (todo) Deaktivieren altes tls-verify Script auf allen VPN Servern
- (todo) Config Push Erweiterung alle VPN Server
- (todo) Ankündigung an alle Opennet Mitglieder senden
- (todo) nach Umstellung aller VPN Clients:
- alte CAs aus OpenVPN Instanzen entfernen
- alte Freigabeverzeichnisse u. User auf CA Server entfernen
- Aktivierung CADIR Check UGW/User VPN Instanzen
- (todo) neue Schlüsselpaare aktivieren
- (todo) Umstellung OpenVPN ns-cert-type nach remote-cert-tls in Opennet Firmware + Anpassung Zertifikate auf EKU "TLS Server"