Opennet Techniktreffen - CA Renovierung (15.05.2023)

Wir waren 5 interessierte Personen und haben tief in der OpenVPN CA Thematik gestochert.

Zu Anfang bestand die Frage, ob und wie weit OpenVPN die Ablaufdaten von Zertifkaten prüft. Lucas hatte hierzu vor einiger Zeit bereits recherchiert. Es sieht so aus, als ob OpenVPN das Thema "ablaufende Zertifkate" sehr ernst nimmt und jedliche Änderung am Standardverhalten als Sicherheitslücke ansieht. Auf superuser.com gibt es nur eine Frage hierzu und eine Antwort: https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn. In kurz: Mit einer lokalen Fake-Uhrzeit könnte man OpenVPN vom Standardverhalten ggf. abbringen.

Wir haben anschließend ausführlich den Prozess der Zertifikatsvalidierung besprochen. Letztendlich sind wir auf folgenden Ablauf gekommen, welcher ein Mal mit echten ONI Zertifikaten durchgespielt werden muss, um die Validität zu prüfen:

Angenommen: neue/verlängerte CAs sind generiert, dann:

erstelle neues server-ca-bundle (einfach neue CA Zertifikate hinzufügen)
Server: server-ca-bundle auf OpenVPN Server einspielen. OpenVPN vertraut somit neuen CAs.
AP: für alle APs neues Zertifikat erstellen (mit neuer CA)
AP: Zertifikat auf AP konfigurieren/aktivieren
AP: neues server-ca-bundle einspielen/kopieren (on-certificates)
als letztes neues Zertifikat auf VPN Server einspielen (nachdem alle APs umgestellt sind)

Gruppe

Opennet Initiative e.V.

Unter dem Motto "Klare Luft, freie Netze" bauen wir in Rostock und Umgebung ein freies Funknetz auf. Wir haben es uns zur Aufgabe gemacht, freie und offene Kommunikationsinfrastrukturen zu fördern.

Stadtgestalten ist eine freie und nicht-kommerzielle Plattform zur Sichtbarmachung, Vernetzung und Unterstützung der Arbeit von engagierten Menschen und Initiativen in Rostock.

Stadtgestalten basiert auf der Freien Software grouprise. Unterstütze grouprise mit einer Spende.