290 Gruppen / 14551 Gestalten / 28914 Beiträge
Beitrag
Artikel

Opennet Techniktreffen - CA Renovierung (15.05.2023)

Wir waren 5 interessierte Personen und haben tief in der OpenVPN CA Thematik gestochert.

Zu Anfang bestand die Frage, ob und wie weit OpenVPN die Ablaufdaten von Zertifkaten prüft. Lucas hatte hierzu vor einiger Zeit bereits recherchiert. Es sieht so aus, als ob OpenVPN das Thema "ablaufende Zertifkate" sehr ernst nimmt und jedliche Änderung am Standardverhalten als Sicherheitslücke ansieht. Auf superuser.com gibt es nur eine Frage hierzu und eine Antwort: https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn. In kurz: Mit einer lokalen Fake-Uhrzeit könnte man OpenVPN vom Standardverhalten ggf. abbringen.

Wir haben anschließend ausführlich den Prozess der Zertifikatsvalidierung besprochen. Letztendlich sind wir auf folgenden Ablauf gekommen, welcher ein Mal mit echten ONI Zertifikaten durchgespielt werden muss, um die Validität zu prüfen:

Angenommen: neue/verlängerte CAs sind generiert, dann:

  • erstelle neues server-ca-bundle (einfach neue CA Zertifikate hinzufügen)

  • Server: server-ca-bundle auf OpenVPN Server einspielen. OpenVPN vertraut somit neuen CAs.

  • AP: für alle APs neues Zertifikat erstellen (mit neuer CA)

  • AP: Zertifikat auf AP konfigurieren/aktivieren

  • AP: neues server-ca-bundle einspielen/kopieren (on-certificates)

  • als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind)

Gruppe abonnieren um über zukünftige Beiträge der Gruppe @opennet per E-Mail