Benutzer:MathiasMahnke/CA Cert Renewal 2013
Aus Opennet
Inhaltsverzeichnis |
Ziel
Im April 2015 läuft das Opennet CA Root-Zertifikat aus, es folgen einige Zertifikate aus der Anfangszeit, die dann ebenfalls nach und nach ablaufen.
- Erneuerung der Root CA
- Durchsicht nicht mehr benötigter Sub CAs
- Sign der benötigten Sub CAs
- Aufbau einer CRL Infrastruktur
- Parallelbetrieb alte und neue CA Struktur
- Austausch der CA Certs sowie der Client Zertifikate Schritt für Schritt
- Erzeugen einer Cert Webansicht
- ggf. Tool zur vereinfachten Erstellung u. Erneuerung der User/UGW Zertifikate per Web
- ggf. Anpassung OpenVPN Freigabe auf Basis von CRL oder nur zusätzlich mit CRL Check
Zeitplan
(Als Idee / Gedankenstütze)
- bis Sommer 2013 - Übersicht über Zertifikate schaffen
- bis Herbst 2013 - Entscheidung für neue CA Infrastruktur abstimmen und CA erzeugen
- Winter 2013/2014 - Austausch CAs und User Zertifikate
- Herbst 2014 - Deaktivierung alte CA Infrastruktur testweise
- Frühjahr 2015 - Deaktivierung alte CA Infrastruktur final
Neue Root CA
Umsetzung erfolgt, siehe Opennet CA.
OpenVPN
- https://community.openvpn.net/openvpn/wiki/Using_Certificate_Chains
- http://openvpn.net/index.php/open-source/documentation/howto.html#revoke
- http://wiki.openvpn.eu/index.php/Zertifikate_sperren
- http://serverfault.com/questions/306345/certification-authority-root-certificate-expiry-and-renewal
for file in *; do openssl x509 -subject -serial -issuer -noout -in $file; done
crl-verify /opt/sslcnf/crl.pem
Umsetzung erfolgt, siehe Server Installation/OpenVPN.
CRL / OCSP
- http://www.openca.org/projects/ocspd/
- http://svn.cacert.org/CAcert/SystemAdministration/ocsp/home/software/ocspd/etc/init.d/ocspd.debian
- http://www.nslu2-linux.org/wiki/HowTo/BuildOCSPD
- http://sourceforge.net/mailarchive/forum.php?set=custom&viewmonth=&viewday=&forum_name=openca-ocspd&style=nested&max_rows=75&submit=Change+View
Umsetzung CRL erfolgt, siehe Server Installation/Opennet CA.
CRL Fehler (gelöst durch CA-Dir):
Mon Jan 6 19:32:13 2014 ::ffff:192.168.11.27 Re-using SSL/TLS context Mon Jan 6 19:32:13 2014 ::ffff:192.168.11.27 LZO compression initialized Mon Jan 6 19:32:14 2014 ::ffff:192.168.11.27 CRL: CRL /etc/openvpn/crl/vpnuser.crl is from a different issuer than the issuer of certificate /C=DE/ST=Mecklenburg-Vorpommern/O=Opennet_Initiative_e.V./OU=Opennet_CA/ CN=opennet-root.ca.on/emailAddress=admin@opennet-initiative.de Mon Jan 6 19:32:14 2014 ::ffff:192.168.11.27 CRL: CRL /etc/openvpn/crl/vpnuser.crl is from a different issuer than the issuer of certificate /C=DE/ST=Mecklenburg-Vorpommern/O=Opennet_Initiative_e.V./OU=Opennet_CA/ CN=opennet-vpn-user.ca.on/emailAddress=admin@opennet-initiative.de
CSR JSON
- http://stedolan.github.io/jq/
- Testanfrage per JQ:
# jq '. | {name, subject_mail}' csr_upload.json { "subject_mail": "name@something.org", "name": "vpnugw_1.123.ugw.on_7f1578e1.csr" } { "subject_mail": "apXX@on-i.de", "name": "vpnugw_1.245.ugw.on_c1d85d90.csr" } { "subject_mail": "another@mail.host.org", "name": "vpnuser_2.679.aps.on_59888696.csr" }
- Combine, Sort, Filter, Select JSONs:
{ echo -n "["; for f in *.json; do cat $f; echo -n ","; done; echo -n "]"; echo; } | sed 's/,]$/]/' | jq 'sort_by(.upload_timestamp) | .[] | select(.status=="CSR") | select (.cn_filter=="vpnugw") | {name,subject_mail,subject_cn,subject_o,cn_filter,upload_mail,upload_timestamp,upload_advisor,upload_ccmail,status}'
Mailversand
Auf Basis mutt (Attachments via MIME/Multipart, Voraussetzung mutt):
echo -e "$message" | EMAIL="$from" mutt -s "$subject" -a "$file" -c "$cc" -- "$to" && echo "done." || echo "failed."
Auf Basis mailx (Attachments Inline via uuencode; Voraussetzung mailx u. sharutils):
( uuencode "$file" "$filename"; echo -e "$message" ) | mailx -s "$subject" "$to" && echo "done." || echo "failed."
Cert Login
- http://wiki.cacert.org/ApacheServerClientCertificateAuthentication
- http://httpd.apache.org/docs/trunk/mod/mod_ssl.html#envvars
- http://httpd.apache.org/docs/trunk/mod/mod_ssl.html#sslrequire
- http://cweiske.de/tagebuch/ssl-client-certificates.htm
Debian CA Handling
- /usr/share/doc/ca-certificates/README.Debian
- Download Cert Bundle + dpkg-reconfigure ca-certificates
- mkdir /etc/ssl/crl
- mkdir /usr/share/ca-certificates/opennet-initiative.de
- opennetca_crldownload.sh -> /usr/local/sbin
TODO Liste
- (erledigt) DNS Eintrag erstellen
- (erledigt) Webserver konfigurieren
- (erledigt) Entscheidung über CA Parameter
- (erledigt) Root-CA anlegen
- (erledigt) Sub-CA anlegen
- (erledigt) CAs einlagern, Keys/CSR sichern
- (erledigt) Root CA index manuell erstellen
- (erledigt) Certs bereitstellen
- (erledigt) CRLs erstellen und automatisieren
- (erledigt) Webseite/-interface bereitstellen
- (erledigt) Subversion Repository angelegen
- (erledigt) Sign Script auf Random Serial Numbers umstellen
- (erledigt) Certs automatisch sammeln
- (erledigt) Automatische Webbasierte Certübersicht erstellen
- (erledigt) CSR CN Filter je CA
- (erledigt) Automatischer Mailversand
- (erledigt) CRL Download per Cron auf VPN GW Servern
- (erledigt) CRL Check in OpenVPN Instanzen
- (erledigt) Neue CAs zu OpenVPN CA-File hinzufügen
- (erledigt) CSR Upload Webinterface
- (erledigt) Sign Script Fehler bei OpenSSL Abbruch abfangen
- (erledigt) CSR Upload JSON Generator
- (erledigt) Client Sub-CA anlegen
- (erledigt) CSR Status Webinterface
- (erledigt) HTTPS Webinterface mit Client Cert Login
- (erledigt) CSR Upload Benachrichtigung
- (erledigt) Sign CC E-Mail via JSON
- (erledigt) CSR Upload Sign Interface
- (erledigt) CC-Mail Versand bei sign_batch implementieren
- (erledigt) Revoke per Webinterface
- (erledigt) Verbesserung Zeitaufwand/Ablauf Cronjobs
- (erledigt) CSR Status mit Tag/Uhrzeit statt Timestamp
- (erledigt) Sortierung CSR Liste per jq-reverse
- (erledigt) Mailversand mit menschenlesbaren Absender/Empfänger
- (erledigt) Mailversand mit Anhängen verbessern
- (erledigt) Status / JSON Webinterface
- (erledigt) CSR Upload Prüfung alte AP Schreibweise (XXX.aps.on statt y.xxx.aps / y.xxx.aps.on)
- (erledigt) Zeichnung State Maschine
- (erledigt) Doku Webserver Konfiguration
- (erledigt) SSH Zugaenge prüfen / bereinigen
- (erledigt) Rsync Prozesse auf VPN Servern entfernen
- (erledigt) Erinnerung an offene CSR Anfragen
- (erledigt) Opennet Mesh CA/CSR interne Erreichbarkeit
- (erledigt) Server Sub-CA erzeugen u. veröeffentlichen
- (erledigt) Heartofgold Server Zertifikat mit SubjectAltName
- (erledigt) CAPath Config in UGW/User VPN Instanzen
- (erledigt) CSR Upload Prüfung alte AP Schreibweise für UGWs
- (erledigt) Test neues Schlüsselpaar User VPN (Aqua)
- (erledigt) CA File mit Certchain zum Download anbieten
- (erledigt) Test CRL Revoke mit UGW/User VPN (Aqua)
- (erledigt) CA Bundle File zum Download anbieten
- (erledigt) Struktur Ablage Cert, Key, CRL, CA auf VPN Server anpassen
- (erledigt) OpenVPN Wiki Doku anpassen
- (erledigt) Upload via HTTPS möglich
- (erledigt) neue Struktur auf allen VPN Server übertragen
- (erledigt) neue Schlüsselpaare je VPN Instanz erzeugen, signieren u. einbetten
- (erledigt) CRL Download überarbeiten
- (erledigt) Deaktivieren altes tls-verify Script auf allen VPN Servern
- (erledigt) Config Push Erweiterung alle VPN Server
- (erledigt) Serienummerngenerator überarbeiten, z.T. falsche Zeichen enthalten
- (erledigt) CA Einbettung in Opennet Server
- (erledigt) CA Einbettung in APs
- (erledigt) Ankündigung an alle Opennet Mitglieder senden
- nach Umstellung aller VPN Clients:
- alte CAs aus OpenVPN Instanzen entfernen
- alte Freigabeverzeichnisse u. User auf CA Server entfernen
- Aktivierung CADIR Check UGW/User VPN Instanzen
- (erledigt) neue Schlüsselpaare aktivieren
- CRL Monitoring
- REST API zur Anbindung an die Opennet FW?
- GPG / X.509 signierter Mailversand?
- DNSSEC / TLSA?
- Umstellung OpenVPN ns-cert-type nach remote-cert-tls in Opennet Firmware + Anpassung Zertifikate auf EKU "TLS Server"