Ablauf und Erneuerung der Root-CA

Hintergrund

Die im SX-GATE integrierte CA wird in erster Linie dazu genutzt, Zertifikate zur Authentifizierung von IPSec-VPN, OpenVPN oder Reverse-Proxy Verbindungen auszustellen. Läuft die CA ab, werden auch alle von ihr ausgestellten Zertifikate ungültig.

Wie jedes Zertifikat hat auch ein CA-Zertifikat eine Gültigkeitsdauer. Im SX-GATE betrug die Gültigkeitsdauer von CA-Zertifikaten die vor Version 6.0-1.6 erstellt wurden 10 Jahre. Die Begrenzung auf 10 Jahre war sinnvoll, da es sich um 2048 Bit Schlüssel handelte und Prognosen zu deren Sicherheit in unseren Augen keine längere Nutzungsdauer zuließen. Mittlerweile werden auch größere Schlüssel weitgehend unterstützt, so dass wir dazu übergegangen sind, CA Zertifikate per Default mit 4096 Bit Schlüsseln und einer Gültigkeitsdauer von 20 Jahren zu erstellen.

Dieser Artikel soll aufzeigen, was zu tun ist, wenn das CA-Zertifikat abläuft. Abhängig von der Anzahl der betroffenen Systeme kann der Wechsel aller Zertifikate natürlich mit deutlichem Aufwand verbunden sein. Ab Version 6.0-3.0 haben wir deshalb Funktionen eingebaut, die eine weitestgehend unterbrechungsfreie Migration über einen längeren Zeitraum hinweg ermöglichen.

Vorgehen bei einfachen Installationen

Sind nur sehr wenige Zertifikate in Verwendung und ist eine Unterbrechung des Nutzbetriebes vertretbar, können Sie wie folgt vorgehen:

  • Gehen Sie in das Menü "System > Zertifikate > Root-CA".
  • Erstellen Sie zur Sicherheit ein Backup des alten CA Schlüsselpaars (*.p12-Datei).
  • Erstellen Sie das neue CA-Zertifikat und fertigen Sie auch davon ein Backup an.
  • Wechseln Sie in das Menü "System > Zertifikate > Zertifikate".
  • Erstellen Sie neue Zertifikate für die anderen beteiligten Server und Clients. Speziell bei Zertifikaten für Server sollten Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration hinterlegt sind.
  • Verteilen Sie die neuen Zertifikate an die entsprechenden Administratoren und Anwender.
  • Sollte Ihr SX-GATE einzelne IPSec-Gegenstellen nicht anhand der CA sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat in der SX-GATE-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter "Authentifizierung" in den IPSec-Verbindungen.
  • Als letztes Zertifikat erstellen Sie das Zertifikat mit dem Namen "VPN" neu, das für den lokalen VPN-Server gedacht ist. Auch hier sollten Sie die Zertifikatsdaten nicht verändern.
  • Es ist denkbar, dass einzelne Gegenstellen Ihr SX-GATE nicht über die CA sondern anhand des Server-Zertifikats authentifizieren. In diesem Fall müssen Sie der Gegenstelle das neue SX-GATE VPN-Zertifikat übermitteln, das Sie mit "Öffentlichen Schlüssel exportieren" herunterladen können (*.crt-Datei).
  • Die Kommunikationspartner können sich nun erst dann wieder erfolgreich authentifizieren, wenn diese die neuen Zertifikate installiert haben.

Weitgehend unterbrechungsfreie Umstellung

Insbesondere größere Installationen können in der Regel nicht in kürzester Zeit umgestellt werden. Mit der nachfolgend beschriebenen Methode können Sie die Umstellung schon Monate vor Ablauf des CA-Zertifikats beginnen. Unterbrechungen beschränken sich dabei auf den Neuaufbau von Verbindungen.

Vorbereitung

  • Gehen Sie in das Menü "System > Zertifikate > Root-CA".
  • Notieren Sie sich sorgfältig die angezeigten Zertifikatsdaten ("Ausgestellt von ...") der alten CA.
  • Exportieren Sie den öffentlichen Schlüssel (*.crt-Datei), da dieser eventuell später benötigt wird.
  • Erstellen Sie zur Sicherheit ein Backup des alten CA Schlüsselpaars (*.p12-Datei).
  • Wechseln Sie auf dem Reiter (Tab) "CA Sperrliste". Falls dort eine Zertifikats-Sperrliste (CRL) verfügbar ist, exportieren Sie diese bitte (*.crl-Datei).

Reverse-Proxy mit Client-Zertifikaten (Teil 1)

Sollte von der lokalen CA noch keine CRL erstellt worden sein (siehe vorheriger Punkt), kann es sinnvoll sein, dies jetzt nachzuholen. Sollte es in der Phase der CA-Umstellung notwendig werden, ein von der neuen CA ausgestelltes Zertifikat zu sperren (beispielsweise weil ein Mitarbeiter die Firma verlässt oder ein Gerät gestohlen wird), muss im Reverse-Proxy auch eine CRL der alten CA hinterlegt werden. Sie benötigen dazu jedoch mindestens SX-GATE-Version 6.0-4.0. Legen Sie bei Bedarf die CRL im Menü "System > Zertifikate > Root-CA" auf dem Reiter (Tab) "CA Sperrliste" an und exportieren Sie diese (*.crl-Datei).

Unabhängig davon, ob Sie eine CRL erstellt haben oder nicht:

  • Wechseln Sie in das Menü "Module > Reverse-Proxy" und bearbeiten Sie nacheinander alle Ports, die Client-Zertifikate anfordern.
  • Aktivieren Sie auf dem Reiter "Vertrauenswürdige CA" zusätzlich zur SX-GATE eigenen CA die benutzerdefinierte CA und importieren Sie den zuvor gesicherten öffentlichen Schlüssel der (alten) SX-GATE CA (*.crt-Datei).

Damit ist sichergestellt, dass sich nach der Erstellung des neuen CA-Zertifikats auch Clients mit Zertifikaten der alten CA verbinden können.

Erstellen des neuen CA-Zertifikats

  • Weiter geht es im Menü "System > Zertifikate > Root-CA".
  • Erstellen Sie das neue CA-Zertifikat. Dabei müssen die Zertifikatsdaten (Distinguished Name) exakt identisch mit den zuvor notierten Daten des alten Zertifikats sein.
  • Fertigen Sie ein Backup des neuen CA-Schlüsselpaars an (*.p12-Datei).
  • Exportieren Sie den öffentlichen Schlüssel (*.crt-Datei), da dieser eventuell später benötigt wird.

Reverse-Proxy mit Client-Zertifikaten (Teil 2)

War keine Zertifikats-Sperrliste (CRL) der alten CA angelegt, können Sie diesen Abschnitt überspringen. Sie benötigen mindestens SX-GATE-Version 6.0-4.0. Aktualisieren Sie ggf. das System.

  • Erstellen Sie jetzt eine neue Sperrliste im Menü "System > Zertifikate > Root-CA" auf dem Reiter (Tab) "CA Sperrliste". Sie brauchen diese Sperrliste nicht herunterzuladen.

Clients mit Zertifikaten der alten CA können sich nun vorübergehend nicht mehr verbinden!

  • Wechseln Sie in das Menü "Module > Reverse-Proxy" und bearbeiten Sie nacheinander alle Ports, die Client-Zertifikate anfordern.
  • Importieren Sie auf dem Reiter "Vertrauenswürdige CA" die am Anfang gesicherte Sperrliste der alten CA (*.crl-Datei).

Clients mit Zertifikaten der alten CA können sich nun wieder verbinden.

VPN mit Zertifikaten

  • Öffnen Sie das Menü "Module > Netzwerk > Einstellungen" und dort den Reiter (Tab) "Vertrauenswürdige VPN CA".
  • Legen Sie dort die soeben aktualisierte SX-GATE CA als neue vertrauenswürdige CA fest.
  • Sofern die Zertifikatsdaten identisch zur alten CA sind, wird Ihnen angeboten, der alten Version der CA weiterhin zu vertrauen. Stimmen Sie dem bitte zu. Fehlt diese Rückfrage, sind vermutlich die Zertifikatsdaten der alten und neuen CA unterschiedlich, so dass ein unterbrechungsfreier Wechsel nicht möglich ist. Korrigieren Sie ggf. das neue CA-Zertifikat.

Zu diesem Zeitpunkt ist sichergestellt, dass sich VPN- und Reverse-Proxy-Verbindungen sowohl mit Zertifikaten der alten, als auch der neuen CA herstellen lassen. Sie können nun nach und nach alle Systeme umstellen, indem Sie unter "System > Zertifikate > Zertifikate" neue Zertifikate und Installationspakete erstellen, ohne jedoch das eigene VPN-Server Zertifikat mit Namen "VPN" neu zu erstellen. Insbesondere bei Server-Zertifikaten sollten Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration hinterlegt sind.

Folgende Besonderheiten sind zu beachten:

SATELLITE

Die Installationspakete enthalten sowohl das neue als auch das alte CA-Zertifikat. Das alte Zertifikat wird jedoch erst ab SATELLITE Version 2.3.1 erkannt und installiert. Aktualisieren Sie Ihren SATELLITE falls erforderlich.

SX-GATE Außenstellen

Beim Import eines von der neuen CA ausgestellten Zertfifikats wird angeboten, die vertrauenswürdige CA zu aktualisieren. Führen Sie diesen Schritt unbedingt durch. Dabei erfolgt wiederum die Rückfrage, ob alte und neue Version des CA-Zertifikats beizubehalten sind, sofern die Zertifikatsdaten (Distinguished Name) identisch sind. Auch dem müssen Sie zustimmen.
    
Sind mehrere SX-GATEs auch vermascht untereinander vernetzt, sollten Sie das neue CA-Zertifikat bereits im Vorfeld als vertrauenswürdig hinterlegen.
    
SX-GATE Außenstellen die mit OpenVPN angebunden sind und deren ovpnc-Schnittstelle auf dem Reiter "Authentifizierung" ein verbindungsspezifisches Zertifikat aufweist, können nicht unterbrechungsfrei umgestellt werden.

iOS VPN-Installationspakete

Der CA-Wechsel wurde hier bislang noch nicht getestet. Setzen Sie sich bei Bedarf mit dem technischen Support in Verbindung.

Authentifizierung über bestimmtes Zertifikat

Sollte Ihr SX-GATE einzelne IPSec-Gegenstellen nicht anhand der CA sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat in der SX-GATE-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter "Authentifizierung" in den IPSec-Verbindungen.
    
Das Ablauf-Datum des CA-Zertifikats spielt in diesem Fall zumindest auf SX-GATE-Systemen keine Rolle. Lediglich das Ablaufdatum des Zertifikats der Gegenstelle ist relevant. Authentifziert auch die Gegenstelle Ihr SX-GATE über ein bestimmtes Zertifikat, müsste dieses folglich nicht zwingend aktualisiert werden

Produkte von Drittherstellern

Sofern diese den SX-GATE anhand des CA-Zertifikats authentifizieren, empfiehlt es sich, auf diesen Geräten sowohl das alte als auch das neue CA-Zertifikat zu hinterlegen.

Mit Abschluss dieser Phase sind nun alle Systeme auf Zertifikate der neuen CA umgestellt, mit Ausnahme des SX-GATE-eigenen VPN-Servers, der als letztes umgestellt wird:

  • Erstellen Sie schließlich das Zertifikat mit dem Namen "VPN" neu. Auch hier sollten Sie die Zertifikatsdaten nicht verändern.
  • Es ist denkbar, dass einzelne Gegenstellen Ihr SX-GATE nicht über CA sondern anhand des Server-Zertifikats authentifizieren. In diesem Fall müssen Sie der Gegenstelle das neue SX-GATE VPN-Zertifikat übermitteln, das Sie mit "Öffentlichen Schlüssel exportieren" herunterladen können (*.crt-Datei).
  • Im Menü "Module > Netzwerk > Einstellungen" können Sie auf dem Reiter (Tab) "Vertrauenswürdige VPN CA" das alte CA-Zertifikat löschen.
  • Entsprechend können Sie im Menü "Module > Reverse-Proxy" nacheinander alle Ports bearbeiten, die Client-Zertifikate anfordern. Deaktivieren Sie auf dem Reiter "Vertrauenswürdige CA" die benutzerdefinierte (alte) CA.