Opennet CA
Team |
Opennet CA |
Treffen: nur bei Bedarf |
Opennet Zertifizierungstelle |
Mitglieder: Christian W., Henning R., Jörg P., Mathias M., Philipp M., Lars K., Jan C.; derzeit inaktiv: Marco R., Ralph Oe., Rene E., Sebastian D., Thomas M.,Ralf P. |
Kontakt: admin@opennet-initiative.de |
Inhaltsverzeichnis |
Einleitung
Die Opennet CA ist auf Server/amano beheimatet und wird durch Opennet verwaltet. Die Zertifizierungsstelle (Opennet CA) dient dem Signieren und Ausstellen von OpenSSL Zertifikaten für den OpenVPN Dienst innerhalb des Opennet Netzwerkes. OpenVPN wird eingesetzt, um die Nutzerzugänge abzusichern und User-Gateways sicher einzubinden. Basierend auf den Zertifikaten werden bei Opennet Berechtigungen an den Gateways für den Zugang zum Internet gesetzt.
Zertifikatsanfragen werden unter https://ca.opennet-initiative.de hochgeladen. Wenn ihr im Opennet CA Team mitarbeiten möchtet, meldet euch bitte bei admin@opennet-initiative.de. Für das Ausstellen und Aktivieren/Deaktivieren von Zertifikaten haben wir eine Intermediate-CA Instanz und HTTPS-Zugang erstellt. Zugriff haben die Opennet CA Teammitglieder, siehe oben rechts.
Anleitung
Zertifikatsanfrage hochladen
http://ca.opennet-initiative.de/csr/
Zertifikatserstellung freigeben
https://ca.opennet-initiative.de/internal/csr.html (Opennet CA Team)
Zertifikatsstatus abfragen
http://ca.opennet-initiative.de/
Dokumentation
Die technische Dokumentation des Opennet CA Backend Systems findet sich unter Server Installation/Opennet CA.
Das Einbinden von PKCS#12 Zertifikaten - notwendig für Opennet CA Teammitglieder - wird unter Browser Zertifikate beschrieben.
Gültige CAs
Bis April 2015:
- Opennet Users Instanz: Opennet CA/opennet users
- Opennet Usergateway Instanz: Opennet CA/opennet ugw
Seit Januar 2014:
- Opennet CA Webinterface: http://ca.opennet-initiative.de/
- Opennet Root CA opennet-root.ca.on, Laufzeit 20 Jahre, 4096 bit RSA Key, SHA-512 Signatur, Self Signed, CRL Laufzeit 30 Tage
- Opennet VPN UGW CA opennet-vpn-ugw.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
- Opennet VPN User CA opennet-vpn-user.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
- Opennet Clients CA opennet-client.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
- Opennet Server CA opennet-server.ca.on, Laufzeit 10 Jahre, 2048 bit RSA Key, SHA-256 Signatur, Signatur Opennet Root CA, CRL Laufzeit 30 Tage
opennet-root.ca.on (Serial D09411CA45BAB5F1) | |
---|---|
CA | Opennet Root CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group |
Key | 4096 bit, RSA, SHA-512 |
DN | C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-root.ca.on, emailAddress=admin@opennet-initiative.de |
Usage | keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE |
CRL | fullname=URI:http://ca.opennet-initiative.de/root.crl Signed SHA-512 + X.509 Subject Key Identifier, Valid 1 Month |
Ext | nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/root.crl, nsRevocationUrl=http://ca.opennet-initiative.de/root.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA |
Sign | Self Signed, SHA-512, valid 2013/12/22 until 2033/12/22 |
Hashes | DN Hash 9106e34c X.509 Subject Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 MD5 Fingerprint BF:C9:45:7C:E0:90:39:62:5B:92:7B:4E:22:53:EF:1F SHA1 Fingerprint D5:34:CE:41:9E:F7:9F:CE:60:08:A8:15:FD:42:2C:8A:26:08:2F:22 |
URL | http://ca.opennet-initiative.de/root.crt |
opennet-vpn-ugw.ca.on (ID 3490EBDBA1EB1335) | |
---|---|
CA | Opennet VPN UGW Sub-CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group |
Key | 2048 bit, RSA, SHA-256 |
DN | C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-vpn-ugw.ca.on, emailAddress=admin@opennet-initiative.de |
Usage | keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer, |
CRL | fullname=URI:http://ca.opennet-initiative.de/vpnugw.crl Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month |
Ext | nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/vpnugw.crl, nsRevocationUrl=http://ca.opennet-initiative.de/vpnugw.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA |
Sign | opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2013/12/22 until 2023/12/22 |
Hashes | DN Hash 216d4987 X.509 Subject Key Identifier C1:1F:4F:E4:A7:49:65:4B:0E:F8:E4:65:16:E2:28:76:49:A2:68:3B X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1 MD5 Fingerprint E2:07:61:C2:1D:C4:21:3B:12:E2:6A:7B:32:E0:5F:BE SHA1 Fingerprint 23:95:C0:78:91:14:40:BA:FC:F9:5D:FC:49:60:6D:8C:70:BE:34:63 |
URL | http://ca.opennet-initiative.de/vpnugw.crt |
opennet-vpn-user.ca.on (ID F066E8B16DBD395F) | |
---|---|
CA | Opennet VPN User Sub-CA, Issued Dec 2013 Mathias Mahnke, Maintainer Opennet Admin Group |
Key | 2048 bit, RSA, SHA-256 |
DN | C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-vpn-user.ca.on, emailAddress=admin@opennet-initiative.de |
Usage | keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer, |
CRL | fullname=URI:http://ca.opennet-initiative.de/vpnuser.crl Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month |
Ext | nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/vpnuser.crl, nsRevocationUrl=http://ca.opennet-initiative.de/vpnuser.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA |
Sign | opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2013/12/22 until 2023/12/22 |
Hashes | DN Hash 69a85ad3 X.509 Subject Key Identifier FA:75:C4:8D:8A:AA:D1:81:E1:29:15:A6:B4:55:E3:C0:32:05:F6:C7 X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1 MD5 Fingerprint B9:C4:E6:00:A0:48:93:7C:07:DE:D1:F3:08:04:04:02 SHA1 Fingerprint D5:5C:FE:61:F8:AA:2A:F8:05:B2:42:F3:2B:8C:A7:83:AA:78:C7:E9 |
URL | http://ca.opennet-initiative.de/vpnuser.crt |
opennet-client.ca.on (ID 361363A4F9780D16) | |
---|---|
CA | Opennet Client Sub-CA, Issued Jan 2014 Mathias Mahnke, Maintainer Opennet Admin Group |
Key | 2048 bit, RSA, SHA-256 |
DN | C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-client.ca.on, emailAddress=admin@opennet-initiative.de |
Usage | keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer, |
CRL | fullname=URI:http://ca.opennet-initiative.de/client.crl Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month |
Ext | nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/client.crl, nsRevocationUrl=http://ca.opennet-initiative.de/client.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA |
Sign | opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2014/01/19 until 2024/01/19 |
Hashes | DN Hash d8003700 X.509 Subject Key Identifier 77:97:CF:E9:CC:9A:47:FF:84:15:63:63:90:19:A0:99:82:28:2D:BA X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1 MD5 Fingerprint 4E:EE:13:0B:C9:9E:B3:57:99:54:9D:D5:98:6B:7B:20 SHA1 Fingerprint 89:83:57:E5:78:11:31:E5:AF:D9:27:43:79:D9:CB:80:DB:36:46:FF |
URL | http://ca.opennet-initiative.de/client.crt |
opennet-server.ca.on (ID 9E76CF710F71FEF1) | |
---|---|
CA | Opennet Server Sub-CA, Issued Mar 2014 Mathias Mahnke, Maintainer Opennet Admin Group |
Key | 2048 bit, RSA, SHA-256 |
DN | C=DE, ST=Mecklenburg-Vorpommern, O=Opennet Initiative e.V., OU=Opennet CA, CN=opennet-server.ca.on, emailAddress=admin@opennet-initiative.de |
Usage | keyUsage=keyCertSign, cRLSign, subjectKeyIdentifier=hash, basicConstraints=critical,CA:TRUE, authorityKeyIdentifier=keyid,issuer, |
CRL | fullname=URI:http://ca.opennet-initiative.de/server.crl Signed SHA-256 + X.509 Subject Key Identifier, Valid 1 Month |
Ext | nsComment=Opennet Root CA, nsCaPolicyUrl=http://ca.opennet-initiative.de/, nsCaRevocationUrl=http://ca.opennet-initiative.de/server.crl, nsRevocationUrl=http://ca.opennet-initiative.de/server.crl, nsBaseUrl=http://ca.opennet-initiative.de/, nsCertType=sslCA,emailCA,objCA |
Sign | opennet-root.ca.on (Serial D09411CA45BAB5F1), SHA-256, valid 2014/01/19 until 2024/01/19 |
Hashes | DN Hash 7e8721dd X.509 Subject Key Identifier C1:C2:B5:2E:E4:85:E0:E9:43:D3:9A:4B:A2:39:76:94:0F:E1:C1:41 X509v3 Authority Key Identifier FA:DA:A6:25:24:2C:20:E7:E5:A3:5F:2F:9F:6B:C1:EA:19:1A:F8:C1 serial:D0:94:11:CA:45:BA:B5:F1 MD5 Fingerprint 42:C5:3C:C1:D2:B7:2A:81:46:97:69:D6:4A:1D:7C:02 SHA1 Fingerprint 46:54:0B:FD:AE:FD:FD:4E:0E:84:93:B5:44:23:31:7B:57:71:39:AB |
URL | http://ca.opennet-initiative.de/server.crt |
TODO
- Server Sub-CA hat fehlerhaften CRL Eintrag, ggf. Resign?
- "Cancel" Funktion in CSR Webinterface?