blog:2022:openvpn

Änderung der Klientenkonfiguration des zentralen VPN-Zugangs

Beim jährlichen Zertifikatwechsel ist in diesem Jahr etwas passiert, was eine Änderung der Konfiguration am Klienten erforderlich machte. Hier einige Erläuterungen zu den häufigsten (teilweise auch sehr unhöflichen) Fragen „Warum muss die Klientenkonfiguration geändert werden“ und „Warum wurde das nur so kurzfristig angekündigt“.

Dazu muss man etwas über die internen Vorgänge des VPN und der Zertifikatswechel wissen:
Bei uns sind alle aktiv verwendeten Zertifikate im Monitoring bzgl. des Ablaufzeitpunktes. 21 Tage vor Erreichen dieses Zeitpunkts wechselt der Status auf WARNING (im Falle des OpenVPN-Dienstes war das am Samstag, dem 11.06.2022). Innerhalb der darauf folgenden Woche werden dann die entsprechenden Vorbereitungen getroffen und der eigentliche Wechselzeitpunkt festgelegt. Zu den Vorbereitungen gehören bspw. die Erzeugung neuen Schlüsselmaterials (wir recyclen keine privaten Schlüssel) und auch die schriftliche Beantragung eines (neuen) Zertifikats. Am Montag, dem 20.06.2022 wurde dann der eigentliche Wechsel vollzogen. Anschließende Tests zeigten allerdings schnell, dass die VPN-Klienten keine VPN-Verbindung mehr aufbauen konnten und das alte Zertfikat wurde ersteinmal wieder reaktiviert.

Die Fehlerursache war schnell gefunden: Das subject des Zertifikats war falsch:

C=DE, ST=Nordrhein-Westfalen, L=Bochum, O=Ruhr-Universitaet Bochum, OU=Network Operation Center, CN=ovpn.noc.ruhr-uni-bochum.de

C=DE, ST=Nordrhein-Westfalen, L=Bochum, O=Ruhr-Universitaet Bochum, CN=ovpn.noc.ruhr-uni-bochum.de

Ganz klarer Fall: OU im Certificate-Request vergessen.

Aber ganz so einfach war es dann doch nicht. Im verwendeten Request wurde die OU korrekt angegeben. Selbst in der Antragsdatei steht die korrekte OU. Auf dem Papier (bzw. PDF) fehlt diese Angabe allerdings, genau wie im dann ausgestellten Zertifikat.

Es war nach Rücksprache mit den Kolleginnen, die die Zertifkate ausstellen auch nicht mehr möglich diese Stelle im Antrag zu modifizieren. Nach etwas Recherche haben wir auch den Grund gefunden: Policy-Änderung der DFN-PKI Global

DFN-PKI Global, zum 15.12.: Abschaffung OU für Serverzertifikate …
…
Anträge für Serverzertifikate, die ab 15.12. eingereicht werden, werden von uns so modifiziert, dass ein evtl. vorhandenes OU-Attribut (Organizational Unit, Abteilung) entfernt wird. Die ausgestellten Serverzertifikate enthalten kein OU.
…

Da das Ganze nur mäßig kommuniziert wurde, die OU im Zertifikat verwendet wird und diese auch noch vom Klienten geprüft wird musste

eine neue Klientenkonfiguration erstellt werden
die mit beiden Zertifikaten klar kommt
und das Ganze pronto (Zur Erinnerung: Wir hatten bereits den 22.06.)

Wenn sich aber schon Möglichkeit bietet, dann ändern wir natürlich nicht nur diese eine Stelle, sondern überlegen auch

Was wollen wir an anderen Verbesserungen zum Klienten pushen?
Was ist ggf. noch alles für den nächsten Zertifikatswechel nötig?

und klären wer wie über welche Kanäle informiert.

Nach einigem Hin-und-Her, Dokumentation lesen (sowohl openvpn als auch TCS) hatten wir eine neue Konfiguration mit

einer Versionierung (macht es dem First-Level-Support einfacher)
aktualisierten Sicherheitseinstellungen
geänderten Einstellungen um Warungen zu vermeiden (vermeidet Fragen im FLS)
das aktuelle DFN-CA und das zukünftige TCS-CA Zertifikat (demnächst steht ein weiterer Wechsel der Wurzel-CA an)
und die geänderte Prüfung des Serverzertifikats (darum geht's ja eigentlich)

sowie die ersten Tests erfolgreich abgeschlossen (sowohl mit der aktuellen Server-Konfiguration als auch mit der zukünftigen Server-Konfiguration). Allerdings war die Woche da auch rum (wir haben jetzt den 26.06.2022). Eine Woche hatten wir noch und eine Woche ist unserer Erfahrung nach auch ein guter Zeitrahmen für solche Ankündigungen: Lange genug um es nicht sofort machen zu müssen und kurz genug um es nicht zu vergessen.

Ursprünglich sollte die Änderung mit dem Neustart am Samstag, dem 02.07.2022 um 06:00 Uhr durchgeführt werden, wir haben den Zeitpunkt dann aber auf Freitag (01.07.2022) Vormittag verlegt, damit alle Hilfesuchenden noch die Möglichkeit bekommen bei Problemen unterstützt zu werden.

Der Artikel wird in Kürze noch mit ein paar Daten zu den Rückmeldungen angereichert.