Hintergrund
Die im DEFENDO integrierte CA wird in erster Linie dazu genutzt, Zertifikate zur Authentifizierung von IPSec-VPN, OpenVPN oder Reverse-Proxy
Verbindungen auszustellen. Läuft die CA ab, werden auch alle von ihr ausgestellten Zertifikate ungültig.
Wie jedes Zertifikat hat auch ein CA-Zertifikat eine Gültigkeitsdauer. Im DEFENDO betrug die Gültigkeitsdauer von CA-Zertifikaten die vor Version 6.0-1.6 erstellt wurden 10 Jahre. Die Begrenzung auf 10 Jahre
war sinnvoll, da es sich um 2048 Bit Schlüssel handelte und Prognosen zu deren Sicherheit in unseren Augen keine längere Nutzungsdauer
zuließen. Mittlerweile werden auch größere Schlüssel weitgehend unterstützt, so dass wir dazu übergegangen sind, CA Zertifikate
per Default mit 4096 Bit Schlüsseln und einer Gültigkeitsdauer von 20 Jahren zu erstellen.
Dieser Artikel soll aufzeigen, was zu tun ist, wenn das CA-Zertifikat abläuft. Abhängig von der Anzahl der betroffenen Systeme
kann der Wechsel aller Zertifikate natürlich mit deutlichem Aufwand verbunden sein. Wir haben deshalb Funktionen eingebaut,
die eine weitestgehend unterbrechungsfreie Migration über einen längeren Zeitraum hinweg ermöglichen.
Die nachfolgende Beschreibung bezieht sich auf die Menü-Titel ab Version 7.1. Das Menü "System > Zertifikatsverwaltung > CA Zertifikate" entspricht in älteren Versionen dem Menü "System > Zertifikatsverwaltung". Der Link "DEFENDO-CA" entspricht in älteren Versionen dem Untermenü "DEFENDO-CA", der Link "Zertifikate" entspricht in älteren Versionen dem Untermenü "Erstellte Zertifikate".
Vorgehen bei einfachen Installationen
Sind nur sehr wenige Zertifikate in Verwendung und ist eine Unterbrechung des Nutzbetriebes vertretbar, können Sie wie folgt
vorgehen:
- Gehen Sie in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie auf den Link "DEFENDO-CA"
- Erstellen Sie vorsichtshalber ein Backup des alten CA Schlüsselpaars (*.p12-Datei)
- Erstellen Sie das neue CA-Zertifikat und fertigen Sie auch davon ein Backup an
- Wechseln Sie zurück in die Übersicht "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie diesmal auf den Link "Zertifikate"
- Erstellen Sie neue Zertifikate für die anderen beteiligten Server und Clients. Speziell bei Zertifikaten für Server sollten
Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration hinterlegt sind
- Verteilen Sie die neuen Zertifikate an die entsprechenden Administratoren und Anwender
- Sollte Ihr DEFENDO einzelne IPSec-Gegenstellen nicht anhand der CA sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat
in der DEFENDO-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter "Authentifizierung" in den IPSec-Verbindungen
- Als letztes Zertifikat erstellen Sie das Zertifikat mit dem Namen "VPN" neu, das für den lokalen VPN-Server gedacht ist. Auch
hier sollten Sie die Zertifikatsdaten nicht verändern
- Es ist denkbar, dass einzelne Gegenstellen Ihren DEFENDO nicht über CA sondern anhand des Server-Zertifikats authentifizieren. In diesem Fall müssen Sie der Gegenstelle das neue
DEFENDO VPN-Zertifikat übermitteln, das Sie mit "Zertifikat exportieren" herunterladen können (*.crt-Datei)
- Die Kommunikationspartner können sich nun erst dann wieder erfolgreich authentifizieren, wenn diese die neuen Zertifikate
installiert haben
Weitgehend unterbrechungsfreie Umstellung
Insbesondere größere Installationen können in der Regel nicht in kürzester Zeit umgestellt werden. Mit der nachfolgend beschriebenen
Methode können Sie die Umstellung schon Monate vor Ablauf des CA-Zertifikats beginnen. Unterbrechungen beschränken sich dabei
auf den Neuaufbau von Verbindungen.
- Vorbereitung
- Gehen Sie in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie auf den Link "DEFENDO-CA"
- Notieren Sie sich sorgfältig die angezeigten Zertifikatsdaten ("Ausgestellt von") der alten CA
- Exportieren Sie den öffentlichen Schlüssel (*.crt-Datei), da dieser eventuell später benötigt wird
- Erstellen Sie vorsichtshalber ein Backup des alten CA Schlüsselpaars (*.p12-Datei)
- Wechseln Sie auf dem Reiter (Tab) "CA Sperrliste". Falls dort eine Zertifikats-Sperrliste (CRL) verfügbar ist, exportieren Sie diese bitte (*.crl-Datei).
- Reverse-Proxy mit Client-Zertifikaten (Teil 1)
- Sollte von der lokalen CA noch keine CRL erstellt worden sein (siehe vorheriger Punkt), kann es sinnvoll sein, dies jetzt
nachzuholen. Sollte es nämlich in der Phase der CA-Umstellung notwendig werden, ein von der neuen CA ausgestelltes Zertifikat
zu sperren (beispielsweise weil ein Mitarbeiter die Firma verlässt oder ein Gerät gestohlen wird), muss im Reverse-Proxy auch
eine CRL der alten CA hinterlegt werden. Legen Sie bei Bedarf die CRL im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter dem Link "DEFENDO-CA" auf dem Reiter (Tab) "CA Sperrliste" an und exportieren Sie diese (*.crl-Datei).
- Egal ob Sie eine CRL erstellt haben oder nicht: Wechseln Sie nun in das Menü "Module > Reverse-Proxy" und bearbeiten Sie nacheinander alle Ports, die Client-Zertifikate anfordern
- Aktivieren Sie auf dem Reiter "Vertrauenswürdige CA" zusätzlich zur DEFENDO eigenen CA die benutzerdefinierte CA und importieren Sie den zuvor gesicherten öffentlichen Schlüssel der (alten) DEFENDO CA (*.crt-Datei).
- Damit ist sichergestellt, dass sich nach der Erstellung des neuen CA-Zertifikats auch Clients mit Zertifikaten der alten CA
verbinden können
- Erstellen des neuen CA-Zertifikats
- Weiter geht es im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter "DEFENDO-CA"
- Erstellen Sie das neue CA-Zertifikat. Dabei müssen die Zertifikatsdaten (Distinguished Name) exakt identisch mit den zuvor
notierten Daten des alten Zertifikats sein
- Fertigen Sie ein Backup des neuen CA-Schlüsselpaars an (*.p12-Datei)
- Exportieren Sie den öffentlichen Schlüssel (*.crt-Datei), da dieser eventuell später benötigt wird
- Reverse-Proxy mit Client-Zertifikaten (Teil 2)
- War keine Zertifikats-Sperrliste (CRL) der alten CA angelegt, können Sie diesen Abschnitt überspringen
- Erstellen Sie bitte jetzt eine neue Sperrliste im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter "DEFENDO-CA" auf dem Reiter (Tab) "CA Sperrliste". Sie brauchen diese Sperrliste nicht herunterzuladen.
Clients mit Zertifikaten der alten CA können sich nun vorübergehend nicht mehr verbinden!
- Wechseln Sie in das Menü "Module > Reverse-Proxy" und bearbeiten Sie nacheinander alle Ports, die Client-Zertifikate anfordern
- Importieren Sie auf dem Reiter "Vertrauenswürdige CA" die anfangs gesicherte Sperrliste der alten CA (*.crl-Datei)
Clients mit Zertifikaten der alten CA können sich nun wieder verbinden
- VPN mit Zertifikaten
- Öffnen Sie nun das Menü "Module > Netzwerk > Einstellungen" und dort den Reiter (Tab) "Vertrauenswürdige VPN CA"
- Legen Sie dort die soeben aktualisierte DEFENDO CA als neue vertrauenswürdige CA fest
- Sofern die Zertifikatsdaten identisch zur alten CA sind, wird Ihnen angeboten, der alten Version der CA weiterhin zu vertrauen.
Stimmen Sie dem bitte zu. Fehlt diese Rückfrage, sind vermutlich die Zertifikatsdaten der alten und neuen CA unterschiedlich,
so dass ein unterbrechungsfreier Wechsel nicht möglich ist. Korrigieren Sie ggf. das CA-Zertifikat
Zu diesem Zeitpunkt ist sichergestellt, dass sich VPN- und Reverse-Proxy-Verbindungen sowohl mit Zertifikaten der alten, als
auch der neuen CA herstellen lassen. Sie können nun nach und nach alle Systeme umstellen, indem Sie im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter dem Link "Zertifikate" neue Zertifikate und Installationspakete erstellen, ohne jedoch das eigene VPN-Server Zertifikat mit Namen "VPN" neu zu
erstellen. Insbesondere bei Server-Zertifikaten sollten Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration
hinterlegt sind.
Folgende Besonderheiten sind zu beachten:
- DEFENDOORBITER
- Die Installationspakete enthalten sowohl das neue als auch das alte CA-Zertifikat. Das alte Zertifikat wird jedoch erst ab
DEFENDOORBITER-Version 2.3.1 erkannt und installiert. Aktualisieren Sie Ihren DEFENDOORBITER falls erforderlich
- DEFENDO Außenstellen
- Beim Import eines von der neuen CA ausgestellten Zertfifikats wird angeboten, die vertrauenswürdige CA zu aktualisieren. Führen
Sie diesen Schritt unbedingt durch. Dabei erfolgt wiederum die Rückfrage, ob alte und neue Version des CA-Zertifikats beizubehalten
sind, sofern die Zertifikatsdaten (Distinguished Name) identisch sind. Auch dem müssen Sie zustimmen
- Sind mehrere DEFENDOs auch quer untereinander vernetzt, sollten Sie das neue CA-Zertifikat bereits im Vorfeld als vertrauenswürdig hinterlegen
- DEFENDO Außenstellen die mit OpenVPN angebunden sind und deren ovpnc-Schnittstelle auf dem Reiter "Authentifizierung" ein verbindungsspezifisches Zertifikat aufweist, können nicht unterbrechungsfrei umgestellt werden
- iOS VPN-Installationspakete
- Der CA-Wechsel wurde hier bislang noch nicht getestet. Setzen Sie sich bei Bedarf mit dem technischen Support in Verbindung
- Authentifizierung über bestimmtes Zertifikat
- Sollte Ihr DEFENDO einzelne IPSec-Gegenstellen nicht anhand der CA sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat
in der DEFENDO-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter "Authentifizierung" in den IPSec-Verbindungen
- Das Ablauf-Datum des CA-Zertifikats spielt in diesem Fall zumindest auf DEFENDO-Systemen keine Rolle. Lediglich das Ablaufdatum des Zertifikats der Gegenstelle ist relevant. Authentifziert auch die Gegenstelle
Ihren DEFENDO über bestimmtes Zertifikat, müsste dieses folglich nicht zwingend aktualisiert werden
- Produkte von Drittherstellern
- Sofern diese den DEFENDO anhand des CA-Zertifikats authentifizieren, empfiehlt es sich, auf diesen Geräten sowohl das alte als auch das neue CA-Zertifikat
zu hinterlegen
Mit Abschluss dieser Phase sind nun alle Systeme auf Zertifikate der neuen CA umgestellt, mit Ausnahme des
DEFENDO-eigenen VPN-Servers, der als letztes umgestellt wird:
- Erstellen Sie schließlich das Zertifikat mit dem Namen "VPN" neu. Auch hier sollten Sie die Zertifikatsdaten nicht verändern
- Es ist denkbar, dass einzelne Gegenstellen Ihren DEFENDO nicht über CA sondern anhand des Server-Zertifikats authentifizieren. In diesem Fall müssen Sie der Gegenstelle das neue
DEFENDO VPN-Zertifikat übermitteln, das Sie mit "Zertifikat exportieren" herunterladen können (*.crt-Datei)
- Im Menü "Module > Netzwerk > Einstellungen" können Sie nun auf dem Reiter (Tab) "Vertrauenswürdige VPN CA" das alte CA-Zertifikat löschen
- Entsprechend können Sie im Menü "Module > Reverse-Proxy" nacheinander alle Ports bearbeiten, die Client-Zertifikate anfordern. Deaktivieren Sie auf dem Reiter "Vertrauenswürdige CA" die benutzerdefinierte (alte) CA.