XCA

Links

Installation mit „Remote Database“-Unterstützung:

sudo dnf -y install xca

Für zusätzliche „Remote Database“-Unterstützung:

sudo dnf -y install qt5-qtbase-mysql qt5-qtbase-odbc qt5-qtbase-postgresql

Notwendige Rechte für den xca-Datenbankbenutzer:

SELECT,INSERT,UPDATE,DELETE,CREATE,CREATE VIEW,INDEX,ALTER,DROP

Empfohlene Gültigkeiten

  • Root CA: 10 Jahre

  • OpenVPN-CA (als Sub-CA realisiert, pathlen=0): 10 Jahre

  • OpenVPN-Server-Zertifikat: 3 Jahre

  • OpenVPN-Client-Zertifikat: 1 Jahr

  • CRL: 1000 Tage

XCA-Templates für OpenVPN

Es macht Sinn, eine Root CA zu erzeugen, unter der eine OpenVPN CA angehängt ist (CA-Chain). Nur letztere stellt die Zertifikate für den OpenVPN-Server und die OpenVPN-Clients aus.

In XCA erzeugt man dazu vier Templates, mit deren Hilfe sich später die Zertifikate erzeugen lassen:

  • Root CA-Zertifikat (LF_Root_CA_Template)

  • OpenVPN CA (LF_OpenVPN_CA_Template)

  • OpenVPN Server (LF_OpenVPN_Server_Template)

  • OpenVPN Client (LF_OpenVPN_Client_Template)

LF_Root_CA_Template

Tab Templates > New Template. Dann:

Tab Subject:

  • Internal Name: LF_Root_CA_Template

  • countryName: CH

  • stateOrProvinceName: ZH

  • localityName: Zurich

  • organizationName: Linuxfabrik GmbH

  • organizationalUnitName: Secure Services

  • commonName: leer lassen

  • emailAddress: info@linuxfabrik.ch

Tab Extensions:

  • Type: Certificate Authority

  • Path length: leer lassen, Critical: yes

  • Key identifier > X509v3 Subject Key Identifier: yes

  • Time range: 10 Years

Tab Key Usage:

  • X509v3 Key Usage: Certificate Sign, CRL Sign

Tab Netscape:

  • Netscape Cert Type: SSL CA, S/MIME CA, Object Signing CA

LF_OpenVPN_CA_Template

Tab Templates > New Template. Dann:

Tab Subject:

  • Internal Name: LF_OpenVPN_CA_Template

  • countryName: CH

  • stateOrProvinceName: ZH

  • localityName: Zurich

  • organizationName: Linuxfabrik GmbH

  • organizationalUnitName: Secure Services

  • commonName: leer lassen

  • emailAddress: info@linuxfabrik.ch

Tab Extensions:

  • Type: Certificate Authority

  • Path length: 0 (ist eine Sub-CA!), Critical: yes

  • Key identifier > X509v3 Subject Key Identifier: yes

  • Time range: 10 Years

Tab Key Usage:

  • nichts

Tab Netscape:

  • nichts

LF_OpenVPN_Server_Template

Tab Templates > New Template. Dann:

Tab Subject:

  • Internal Name: LF_OpenVPN_Server_Template

  • countryName: CH

  • stateOrProvinceName: ZH

  • localityName: Zurich

  • organizationName: Linuxfabrik GmbH

  • organizationalUnitName: Secure Services

  • commonName: leer lassen

  • emailAddress: info@linuxfabrik.ch

Tab Extensions:

  • Type: End Entity

  • Path length: leer lassen, Critical: yes

  • Key identifier > X509v3 Subject Key Identifier: yes

  • Time range: 3 Years

Tab Key Usage:

  • X509v3 Key Usage: Digital Signature, Key Encipherment

  • X509v3 Extended Key Usage: TLS Web Server Authentication

Tab Netscape:

  • Netscape Cert Type: SSL Server

LF_OpenVPN_Client_Template

Tab Templates > New Template. Dann:

Tab Subject:

  • Internal Name: LF_OpenVPN_Client_Template

  • countryName: CH

  • stateOrProvinceName: ZH

  • localityName: Zurich

  • organizationName: Linuxfabrik GmbH

  • organizationalUnitName: Secure Services

  • commonName: leer lassen

  • emailAddress: info@linuxfabrik.ch

Tab Extensions:

  • Type: End Entity

  • Path length: leer lassen, Critical: yes

  • Key identifier > X509v3 Subject Key Identifier: yes

  • Time range: 365 Days

Tab Key Usage:

  • X509v3 Key Usage: Digital Signature

  • X509v3 Extended Key Usage: TLS Web Client Authentication

Tab Netscape:

  • nichts

OpenVPN-Zertifikate mit XCA ausstellen

Root CA erstellen

Tab Certificates > New Certificate. Dann:

Tab Source:

  • Signature algorithm: SHA 384

  • Template for the new certificate: LF_Root_CA_Template > Apply all

Tab Subject:

  • Internal Name: LF Root CA SHA 384

  • commonName: leer lassen

  • Private key: Generate a new key (Keytype: RSA, Keysize: 4096 bit, Remember as default: checked) > Create

Rechte Maustaste auf das neue Zertifikat > CA > Properties:

  • Days until next CRL issuing: 1000 days

  • Default template: LF_OpenVPN_CA_Template

OpenVPN CA-Zertifikat erstellen

Tab Certificates > Klick auf „LF Root CA SHA 384“ > New Certificate. Dann:

Tab Source:

  • Signature algorithm: SHA 384

  • Template for the new certificate: LF_OpenVPN_CA_Template > Apply all

Tab Subject:

  • Internal Name: LF OpenVPN CA SHA 384

  • commonName: Linuxfabrik OpenVPN CA SHA 384

  • Private key: Generate a new key (Keysize: 4096 bit, Remember as default: checked) > Create

  • Bei Meldung „The certificate will be longer valid than the signer. This is probably not what you want“ > „Adjust date and continue“

Rechte Maustaste auf das neue Zertifikat > CA > Properties:

  • Days until next CRL issuing: 1000 days

  • Default template: LF_OpenVPN_Client_Template

OpenVPN Server-Zertifikat ausstellen

Tab Certificates > Klick auf „LF OpenVPN CA SHA 384“ > New Certificate. Dann:

Tab Source:

  • Signature algorithm: SHA 384

  • Template for the new certificate: LF_OpenVPN_Server_Template > Apply all

Tab Subject:

  • Internal Name: Hostname (FQDN) des OpenVPN-Servers

  • commonName: Hostname (FQDN) des OpenVPN-Servers

  • Private key: Generate a new key (Keysize: 4096 bit - Remember as default: checked)

OpenVPN Client-Zertifikat ausstellen

Tab Certificates > Klick auf „LF OpenVPN CA SHA 384“ > New Certificates

Tab Source:

  • Signature algorithm: SHA 384

  • Template for the new certificate: LF_OpenVPN_Client_Template > Apply all

Tab Subject:

  • Internal Name: E-Mail-Adresse

  • commonName: E-Mail-Adresse

  • Generate a new key (4096 bit)

OpenVPN Client-Zertifikat erneuern

Rechte Maustaste auf das zu erneuernde Zertifikat > Renewal:

  • Time Range: 1 Jahr

  • Haken bei „Revoke old certifikate“ setzen + ok

Export:

  • Export Format: PKCS#12 chain (p12)

  • Für Kundenzertifikate mindestens ein 40-stelliges alphanumerisches Passwort vergeben (muss nicht notiert werden). Dieses via Infomaniak kpaste privat in Rocketchat zustellen.

Rechte Maustaste auf „LF OpenVPN CA SHA 384“ > CA > Generate CRL:

  • 1000 days

  • Hash algorithm: SHA 384

CRL auf das Zielsystem hochladen (z.B. bei den OpenVPN-Servern als /etc/openvpn/server/crl.pem, abhängig von deren Konfiguration) und openvpn Server auf dem Zielsystem neu starten systemctl restart openvpn-server@server.service

Troubleshooting

The currently used PFX / PKCS#12 algorithm ‚PBE-SHA1-3DES‘ is insecure.

Im Menü File > Options > Settings den „PKCS12 encryption algorithm“ auf „AES-256-CBC“ umstellen.

Built on 2024-09-30