Beim jährlichen Zertifikatwechsel ist in diesem Jahr etwas passiert, was eine Änderung der Konfiguration am Klienten erforderlich machte. Hier einige Erläuterungen zu den häufigsten (teilweise auch sehr unhöflichen) Fragen „Warum muss die Klientenkonfiguration geändert werden“ und „Warum wurde das nur so kurzfristig angekündigt“.
Dazu muss man etwas über die internen Vorgänge des VPN und der Zertifikatswechel wissen:
Bei uns sind alle aktiv verwendeten Zertifikate im Monitoring bzgl. des Ablaufzeitpunktes. 21 Tage vor Erreichen dieses Zeitpunkts wechselt der Status auf WARNING (im Falle des OpenVPN-Dienstes war das am Samstag, dem 11.06.2022). Innerhalb der darauf folgenden Woche werden dann die entsprechenden Vorbereitungen getroffen und der eigentliche Wechselzeitpunkt festgelegt. Zu den Vorbereitungen gehören bspw. die Erzeugung neuen Schlüsselmaterials (wir recyclen keine privaten Schlüssel) und auch die schriftliche Beantragung eines (neuen) Zertifikats. Am Montag, dem 20.06.2022 wurde dann der eigentliche Wechsel vollzogen. Anschließende Tests zeigten allerdings schnell, dass die VPN-Klienten keine VPN-Verbindung mehr aufbauen konnten und das alte Zertfikat wurde ersteinmal wieder reaktiviert.
Die Fehlerursache war schnell gefunden: Das subject
des Zertifikats war falsch:
vs
Ganz klarer Fall: OU
im Certificate-Request vergessen.
Aber ganz so einfach war es dann doch nicht. Im verwendeten Request wurde die OU
korrekt angegeben. Selbst in der Antragsdatei steht die korrekte OU
. Auf dem Papier (bzw. PDF) fehlt diese Angabe allerdings, genau wie im dann ausgestellten Zertifikat.
Es war nach Rücksprache mit den Kolleginnen, die die Zertifkate ausstellen auch nicht mehr möglich diese Stelle im Antrag zu modifizieren. Nach etwas Recherche haben wir auch den Grund gefunden: Policy-Änderung der DFN-PKI Global
DFN-PKI Global, zum 15.12.: Abschaffung OU für Serverzertifikate …
…
Anträge für Serverzertifikate, die ab 15.12. eingereicht werden, werden von uns so modifiziert, dass ein evtl. vorhandenes OU-Attribut (Organizational Unit, Abteilung) entfernt wird. Die ausgestellten Serverzertifikate enthalten kein OU.
…
Da das Ganze nur mäßig kommuniziert wurde, die OU
im Zertifikat verwendet wird und diese auch noch vom Klienten geprüft wird musste
Wenn sich aber schon Möglichkeit bietet, dann ändern wir natürlich nicht nur diese eine Stelle, sondern überlegen auch
und klären wer wie über welche Kanäle informiert.
Nach einigem Hin-und-Her, Dokumentation lesen (sowohl openvpn als auch TCS) hatten wir eine neue Konfiguration mit
sowie die ersten Tests erfolgreich abgeschlossen (sowohl mit der aktuellen Server-Konfiguration als auch mit der zukünftigen Server-Konfiguration). Allerdings war die Woche da auch rum (wir haben jetzt den 26.06.2022). Eine Woche hatten wir noch und eine Woche ist unserer Erfahrung nach auch ein guter Zeitrahmen für solche Ankündigungen: Lange genug um es nicht sofort machen zu müssen und kurz genug um es nicht zu vergessen.
Ursprünglich sollte die Änderung mit dem Neustart am Samstag, dem 02.07.2022 um 06:00 Uhr durchgeführt werden, wir haben den Zeitpunkt dann aber auf Freitag (01.07.2022) Vormittag verlegt, damit alle Hilfesuchenden noch die Möglichkeit bekommen bei Problemen unterstützt zu werden.
Der Artikel wird in Kürze noch mit ein paar Daten zu den Rückmeldungen angereichert.