masterthesis/CA-DOC-Inhalt.tex
2018-09-24 12:11:30 +02:00

341 lines
19 KiB
TeX

\chapter{Vorwort} \label{cpt:premable}
Dieses Dokument wurde im Rahmen der Masterarbeit \enquote{Konzeption und Umsetzung eines IPv6-VPN für die Abteilung Informatik} erstellt.
Im Rahmen der Masterarbeit wird beschrieben, wie ein IP6-VPN-Dienst auf Basis von OpenVPN konzipiert und eingerichtet wird.
Für den Betrieb dieses Dienst wird eine Zertifizierungsstelle (\textit{Certificate Authority}, kurz CA) benötigt, die für Benutzer und den Serverbetreiber SSL-Zertifikate ausstellen kann.
In diesem Dokument wird die Einrichtung und der Betrieb der CA beschrieben.
Weiterhin sind Anleitungen für Benutzer und Serveradministratoren des VPN-Dienstes enthalten, in denen die Beantragung von Client- und Server-Zertifikaten bei der CA beschrieben wird.
Die in diesem Dokument beschriebene Konfiguration der CA wurde im Rahmen der Masterarbeit konzipiert.
Entscheidungen, die zu der hier beschriebenen Konfiguration geführt haben können in der Masterarbeit nachvollzogen werden.
Die Kapitel in diesem Dokument sind je nach Zielgruppe unterschiedlich interessant. In der folgenden Liste werden sie zur Vereinfachung der Navigation aufgelistet.
\begin{itemize}
\item \textbf{Benutzer}: \nameref{cpt:request_cert}
\item \textbf{Serveradministratoren}: \nameref{cpt:request_cert}, \nameref{cpt:create_dhparam}
\item \textbf{CA-Betreiber}: \nameref{cpt:build_ca}, \nameref{cpt:issue_cert}, \nameref{cpt:create_crl}
\end{itemize}
\chapter{Aufbau der Zertifizierungsstelle} \label{cpt:build_ca}
Bevor Zertifikate durch die CA ausgestellt werden könnnen, muss die CA erst eingerichtet werden.
Dies geschieht auf Basis von EasyRSA, welches von den OpenVPN-Entwicklern zur Verfügung gestellt wird.
EasyRSA ist eine Sammlung von Skripten, die unter Verwendung von OpenSSL den Funktionsumfang einer Zertifizierungsstelle bieten.
Durch die Kapselung von OpenSSL-Befehlen und die Verwendung einer übersichtlichen Konfigurationsdatei ermöglicht EasyRSA das komfortable und sichere Verwalten einer CA.
Der Aufbau der Zertifizierungsstelle wurde für die Umsetzung unter Debian 9 konzipiert.
Für die Durchführung aller Schritte dieser Anleitung werden die folgenden Programme benötigt.
\begin{itemize}
\item \texttt{openssl}
\item \texttt{gnupg}
\item \texttt{wget}
\item \texttt{zip}
\end{itemize}
\section{Installation der CA} \label{sct:install_ca}
Aktuelle Versionen von EasyRSA sind auf GitHub unter \enquote{Releases}\footnote{\url{https://github.com/OpenVPN/easy-rsa/releases}} zu finden.
Neben den auf GitHub zur Verfügung stehenden Releases werden auch GPG-Signaturen angeboten, über welche die Releases authentisiert werden können.
Im oben erwähnten Repository sind unterhalb von \texttt{./release-keys/README.md}\footnote{\url{https://github.com/OpenVPN/easy-rsa/tree/v3.0.5/release-keys}} passende GPG-Schlüssel aufgeführt.
Zum Zeitpunkt der Erstellung dieses Dokuments (17.09.2018) ist Version 3.0.5 aktuell - alle in diesem Dokument aufgeführten Befehle beziehen sich auf diese Version.
Für die Verwendung dieser Dokumentation mit einer höheren Version von EasyRSA sind gegebenenfalls Anpassungen an diesem Dokument erforderlich.
Im ersten Schritt wird die aktuelle Version von EasyRSA beschafft und authentisiert.
\begin{lstlisting}
# Aktuelles Release v3.0.5 beschaffen
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/ \
EasyRSA-nix-3.0.5.tgz
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/ \
EasyRSA-nix-3.0.5.tgz.sig
# Aktuell gültige(n) GPG-Schlüssel für die Signaturprüfung beschaffen
gpg --recv-keys 6F4056821152F03B6B24F2FCF8489F839D7367F3
# Signatur der heruntergeladenen Datei überprüfen
gpg --verify EasyRSA-nix-3.0.5.tgz.sig EasyRSA-nix-3.0.5.tgz
\end{lstlisting}
Nach der erfolgreichen Authentisierung des heruntergeladenen Archivs kann dieses nun entpackt und verwendet werden.
\begin{lstlisting}
tar xzf EasyRSA-nix-3.0.5.tgz
cd EasyRSA-3.0.5/
\end{lstlisting}
\section{Konfiguration der CA} \label{sct:configure_ca}
Im nächsten Schritt wird auf Basis der Datei \texttt{vars.example} die Konfigurationsdatei \texttt{vars} erzeugt und anschließend bearbeitet.
\begin{lstlisting}
cp vars.example vars
vim vars
\end{lstlisting}
In der so erzeugten Konfigurationsdatei werden nun die folgenden Einträge auskommentiert und entsprechend angepasst.
Zertifikate verwenden das volle Organisationsschema als \textit{Distinguished Name} (DN).
Dadurch können Zertifikate bei Betrachtung leicht der Abteilung Informatik zugeordnet werden.
\begin{lstlisting}
set_var EASYRSA_DN "org"
\end{lstlisting}
Die folgenden Werte sind Standardvorgaben des Organisationsschema für neue Zertifikatsanträge.
Lediglich der \textit{Common Name} (CN) wird für alle Zertifikate individuell gewählt.
\begin{lstlisting}
set_var EASYRSA_REQ_COUNTRY "DE"
set_var EASYRSA_REQ_PROVINCE "Niedersachsen"
set_var EASYRSA_REQ_CITY "Hannover"
set_var EASYRSA_REQ_ORG "Hochschule Hannover"
set_var EASYRSA_REQ_EMAIL "F4-I-IT-Team@hs-hannover.de"
set_var EASYRSA_REQ_OU "Abteilung Informatik"
\end{lstlisting}
Alle erzeugten Zertifikate basieren auf RSA-Schlüsselpaaren mit 4096 Bit Schlüssellänge.
\begin{lstlisting}
set_var EASYRSA_KEY_SIZE 4096
set_var EASYRSA_ALGO rsa
\end{lstlisting}
Das Wurzelzertifikat der CA ist für 20 Jahre gültig.
\begin{lstlisting}
set_var EASYRSA_CA_EXPIRE 7300
\end{lstlisting}
Ausgestellte Zertifikate sind für fünf Jahre gültig\footnote{Dieser Standardwert wird für Zertifikate für Mitarbeiter und Server angewandt. Für Studenten ist eine maximale Laufzeit von 730 Tage (zwei Jahren) festgelegt.}.
\begin{lstlisting}
set_var EASYRSA_CERT_EXPIRE 1825
\end{lstlisting}
Die von der CA erzeugte \textit{Certificate Revocation List} (CRL) ist ein halbes Jahr lang gültig.
\begin{lstlisting}
set_var EASYRSA_CRL_DAYS 180
\end{lstlisting}
Mit der Durchführung der aufgeführten Änderungen ist die Konfiguration der CA abgeschlossen.
\section{Initialisierung der CA} \label{sct:initialize_ca}
Als nächstes muss die Verzeichnisstruktur der CA initialisiert werden.
\begin{lstlisting}
./easyrsa init-pki
\end{lstlisting}
Im Anschluss kann das Wurzelzertifikat der CA erzeugt werden.
\begin{lstlisting}
# ./easyrsa build-ca nopass
./easyrsa build-ca
\end{lstlisting}
\textbf{Hinweis 1}: Besteht der begründete Wunsch, den privaten Schlüssel der CA \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{build-ca} angehängt werden.
Dies kann nützlich sein um die regelmäßige Ausstellung einer CRL zu automatisieren.
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser beliebige Zertifikate durch die CA ausstellen.
Ein Passwortschutz wird ausdrücklich empfohlen sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels der CA vor unbefugtem Zugriff getroffen werden!
\textbf{Hinweis 2}: Im Rahmen der Erzeugung des Wurzelzertifikats werden Angaben zum Zertifikat abgefragt.
Hier muss ein passender CN angegeben werden, wie zum Beispiel \enquote{IPv6-VPN CA}.
Alle weiteren Vorgaben werden unverändert übernommen.
\section{Bereitstellung der CA-Konfiguration für Benutzer} \label{sct:provide_ca_config}
Damit Benutzer korrekte Zertifikatsanträge erzeugen können, muss ihnen die Datei \texttt{vars} zur Verfügung gestellt werden.
Um Kompatibilitätsprobleme durch die Verwendung von verschiedenen EasyRSA-Versionen auszuschließen, wird empfohlen für Benutzer ein passendes Paket zusammenzustellen.
Als Basis wird jeweils das \texttt{*.zip}-Release der aktuellen Version von EasyRSA empfohlen, da dieses für Windows-Benutzer notwendige Abhängigkeiten wie \texttt{awk} und \texttt{sed} bereits enthält.
Zunächst wird das aktuelle \texttt{*.zip}-Release von EasyRSA beschafft und authentisiert.
\begin{lstlisting}
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/ \
EasyRSA-Windows-3.0.5.zip
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/ \
EasyRSA-Windows-3.0.5.zip.sig
gpg --recv-keys 6F4056821152F03B6B24F2FCF8489F839D7367F3
gpg --verify EasyRSA-Windows-3.0.5.zip.sig EasyRSA-Windows-3.0.5.zip
\end{lstlisting}
Nun kann die konfigurierte \texttt{vars}-Datei der CA zu dem beschafften \texttt{*.zip}-Archiv hinzugefügt werden.
\begin{lstlisting}
# Temporäres Verzeichnis erzeugen
TD=`mktemp -d`
# EasyRSA in temporäres Verzeichnis entpacken
unzip EasyRSA-Windows-3.0.5.zip -d $TD
# Vars-Datei hinzufügen
cp /path/to/CA/vars $TD/EasyRSA-3.0.5/
# Ergebnis in neue Zip-Datei einpacken
cd $TD
zip -r VPN-EasyRSA.zip EasyRSA-3.0.5
# Neue Zip-Datei an sicheren Ort verschieben
cd -
cp $TD/VPN-EasyRSA.zip .
# Temporäres Verzeichnis entfernen
rm -rf $TD
\end{lstlisting}
Anschließend kann das angefertigte \texttt{*.zip}-Archiv den Benutzern zum Beispiel durch einen Webserver zur Verfügung gestellt werden.
\section{Einrichtung eines Webservers} \label{sct:setup_webserver}
Um öffentliche Dateien wie das Wurzelzertifikat, die CRL und das konfigurierte EasyRSA-Paket den Benutzern zugänglich zu machen, wird ein Webserver auf der CA-Maschine installiert.
Der Hostname \texttt{vpnca.inform.hs-hannover.de} wurde für die CA-Maschine vom IT-Team vorgegeben.
Zuerst wird die Webserversoftware über den Debian-Paketmanager installiert und die standardmäßig aktiven \texttt{VirtualHost}-Konfigurationen deaktiviert.
\begin{lstlisting}
apt-get install apache2
rm /etc/apache2/sites-enabled/*
\end{lstlisting}
Im nächsten Schritt wird ein öffentliches, nur lesbares Verzeichnis erzeugt, welches später alle öffentlich verfügbaren Daten der CA enthalten soll und vom Webserver ausgeliefert wird.
\begin{lstlisting}
mkdir /public; chown nobody:nogroup /public; chmod 555 /public;
\end{lstlisting}
Nun wird eine neue Konfigurationsdatei mit dem folgenden Inhalt in die neue Datei \texttt{/etc/apache2/sites-available/vpnca.inform.hs-hannover.de.conf} abgelegt.
\begin{lstlisting}
<VirtualHost *:80>
ServerName vpnca.inform.hs-hannover.de
ServerAdmin F4-I-IT-Team@hs-hannover.de
DocumentRoot /public
<Directory /public>
Options +Indexes
Require all granted
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
\end{lstlisting}
Nun kann der Webserver gestartet werden.
\begin{lstlisting}
systemctl enable apache2.service; systemctl start apache2.service
\end{lstlisting}
Als nächstes werden öffentliche Daten der CA als Kopie in \texttt{/public} abgelegt.
Es wird davon ausgegangen, dass das Wurzelzertifikat als \texttt{ca.crt}, die CRL als \texttt{crl.pem} und die konfigurierten EasyRSA-Skripte als \texttt{VPN-EasyRSA.zip} abgelegt werden.
Als letztes müssen die Dateirechte angepasst werden, damit alle Dateien öffentlich lesbar sind.
\begin{lstlisting}
chmod 444 /public/*
\end{lstlisting}
\chapter{Beantragen von Zertifikaten} \label{cpt:request_cert}
Um ein Zertifikat von der CA zu beantragen, wird das bereits vorkonfigurierte EasyRSA-Paket benötigt, welches durch das IT-Team der Abteilung Informatik bereitgestellt wird.
Es kann von \url{http://vpnca.inform.hs-hannover.de/VPN-EasyRSA.zip} heruntergeladen und in einem lokalen Ordner entpackt werden.
Eine lauffähige Installation von OpenSSL, welches auch als Abhängigkeit von OpenVPN benötigt wird, wird ebenfalls vorausgesetzt.
\textbf{Hinweis für Windows-Benutzer}: Der Pfad zum OpenSSL-Programm muss in der Datei \texttt{vars} von EasyRSA hinterlegt werden.
Dafür kann auf das von OpenVPN installierte OpenSSL zurückgegriffen werden\footnote{Mehr dazu unter \\ \url{https://github.com/OpenVPN/easy-rsa/blob/v3.0.5/distro/windows/README-Windows.txt}}.
Die folgenden Zeile zeigt beispielhaft die Verwendung des durch OpenVPN installierten OpenSSL-Programms:
\begin{lstlisting}
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
\end{lstlisting}
Nun öffnet man ein Terminal, wechselt in das eben entpackte Verzeichnis von EasyRSA und kann den Befehl \texttt{./easyrsa} verwenden, um einen Zertifikatsantrag zu erzeugen.
Unter Windows kann eine passende Konsole über die Datei \texttt{EasyRSA-Start.bat} aufgerufen werden.
Zuerst muss die benötigte Verzeichnisstruktur erzeugt werden.
\begin{lstlisting}
./easyrsa init-pki
\end{lstlisting}
Im nächsten Schritt wird ein neuer Zertifikatsantrag inklusive neuem Schlüsselpaar erzeugt.
\begin{lstlisting}
# ./easyrsa gen-req entityName nopass
./easyrsa gen-req entityName
\end{lstlisting}
Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch den E-Mailadresse des Benutzers an der Hochschule Hannover ersetzt werden.
Für die Beantragung eines \textbf{Serverzertifikats} muss der Platzhalter \texttt{entityName} durch dessen vollqualifizierten Domainnamen des Servers ersetzt werden.
Dieser kann beispielsweise \texttt{aither.inform.hs-hannover.de} lauten.
\newpage
Im Rahmen der Erzeugung des Zertifikatsantrags werden zusätzliche Angaben abgefragt.
Im Feld \texttt{Common Name} muss der volle Name des Antragsstellers (Clientzertifikat) oder der vollqualifizierte Domainname des Servers (Serverzertifikat) angegeben werden.
Im Feld \texttt{Email Address} muss die Hochschul-E-Mail-Adresse des Antragsstellers angegeben werden.
Alle weiteren Vorgaben werden unverändert übernommen.
\textbf{Hinweis 1}: Besteht der begründete Wunsch, den erzeugten, privaten Schlüssel \textbf{nicht} mit einem Passwort zu schützen, so kann das Argument \texttt{nopass} an den Befehl \texttt{gen-req} angehängt werden.
Dies kann nützlich sein um den privaten Schlüssel ohne zusätzliche Passworteingabe zu benutzen - zum Beispiel zum Betrieb eines OpenVPN-Servers oder zum automatischen Verbindungsaufbau mit einem OpenVPN-Client.
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen.
Ein Passwortschutz wird ausdrücklich empfohlen sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels vor unbefugtem Zugriff getroffen werden!
\textbf{Hinweis 2}: Wurde zuvor bereits ein Zertifikatsantrag mit dem selben \texttt{entityName} erzeugt worden sein, so kann dieser inklusive dem dazugehörigen privaten Schlüssel \textbf{überschrieben} werden.
Dafür ist die Bestätigung der Sicherheitsabfrage durch die Eingabe von \texttt{yes} erforderlich.
In diesem Schritt wurden nun zwei neue Dateien erzeugt:
\begin{itemize}
\item \texttt{*.key}: Der private Schlüssel. Nur mit ihm kann das später ausgestellte Zertifikat benutzt werden. Diese Datei sollte immer an einem sicheren Ort gespeichert werden, um Missbrauch durch Dritte zu verhindern. Bei Verlust dieser Datei wird das dazugehörige Zertifikat \textbf{unbrauchbar}! Aus diesem Grund wird die Durchführung von Backups empfohlen.
\item \texttt{*.req}: Der Zertifikatsantrag, der zu dem neuen privaten Schlüssel gehört. Zum Ausstellen eines gültigen Zertifikats muss er an die CA übergeben werden. Nachdem ein gültiges Zertifikat aus dem Antrag erzeugt wurde, wird diese Datei nicht länger benötigt.
\end{itemize}
\chapter{Ausstellen von Zertifikaten} \label{cpt:issue_cert}
Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf Basis dieses Antrags ein gültiges Zertifikat durch die CA ausgestellt werden.
Hierfür muss der Zertifikatsantrag zunächst aus der vom Benutzer eingereichten \texttt{*.req}-Datei importiert werden.
Dafür wird der Befehl \texttt{import-req} verwendet:
\begin{lstlisting}
./easyrsa import-req /tmp/example.req entityName
\end{lstlisting}
Abhängig vom Typ des beantragten Zertifikats muss der Platzhalter \texttt{entityName} durch die CA-Betreiber gewählt werden.
Der \texttt{entityName} wird auch zum Widerrufen bereits ausgestellter Zertifikate verwendet.
Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch die E-Mail-Adresse des Benutzers an der Hochschule Hannover ersetzt werden, der das Zertifikat beantragt.
Für die Beantragung eines \textbf{Serverzertifikats} muss der Platzhalter \texttt{entityName} durch den vollqualifizierten Domainnamen des Servers ersetzt werden, für den das Zertifikat beantragt wird.
Dieser kann zum Beispiel \texttt{aither.inform.hs-hannover.de} lauten.
Der importierte Zertifikatsantrag kann im Anschluss betrachtet werden.
\begin{lstlisting}
./easyrsa show-req entityName
\end{lstlisting}
\textbf{Hinweis}: Falls bereits ein noch gültiges Zertifikat mit dem selben \texttt{CN} existiert, muss dieses vorher widerrufen werden.
\begin{lstlisting}
./easyrsa revoke entityName
\end{lstlisting}
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
\newpage
Nun kann der importierte Zertifikatsantrag als Client- oder Serverzertifikat signiert werden.
\begin{lstlisting}
# Clientzertifikat für Studenten ausstellen
# (reduzierte Laufzeit von 2 Jahren)
EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req client entityName
# Clientzertifikat für Mitarbeiter ausstellen
./easyrsa sign-req client entityName
# Serverzertifikat ausstellen
./easyrsa sign-req server entityName
\end{lstlisting}
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
\textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen frei gewählt werden, indem die Umgebungsvariable \texttt{EASYRSA\_CERT\_EXPIRE} auf die gewünschte Gültigkeitsdauer in Tagen gesetzt wird.
Bei der Wahl einer erhöhten Gültigkeitsdauer wird empfohlen, eine maximale Gültigkeitsdauer von 1825 Tagen (fünf Jahre) nicht zu überschreiten.
In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt.
\begin{lstlisting}
EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server entityName
\end{lstlisting}
\chapter{Erzeugen der CRL} \label{cpt:create_crl}
Der OpenVPN-Server verwendet die von der CA ausgestellte \textit{Certificate Revocation List} (CRL) zur Überprüfung der Gültigkeit von Clientzertifikaten.
In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch die Option \texttt{verify-crl /path/to/crl.pem} angegeben.
Somit können durch die CA widerrufene Zertifikate nicht mehr zur Anmeldung am VPN-Dienst benutzt werden.
Mit dem folgenden Befehl wird die CRL erzeugt.
\begin{lstlisting}
./easyrsa gen-crl
\end{lstlisting}
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
\textbf{Achtung:} Der OpenVPN-Server lehnt eine abgelaufene CRL-Datei ab und verweigert dann den Dienst.
Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und die Kopie der CRL auf dem VPN-Server regelmäßig aktualisiert werden.
Anschließend sollte der VPN-Dienst via \texttt{systemctl reload openvpn@dienstname.service} neu geladen werden.
Eine Automatisierung dieses Vorgangs ist möglich und wird empfohlen.
\chapter{Erzeugen der DH-Para\-me\-ter} \label{cpt:create_dhparam}
Um Chiffren mit \textit{Perfect Forward Secrecy} zu verwenden benötigt der OpenVPN-Server eine Datei mit Diffie-Hellman-Parametern.
Da die Berechnung dieser Parameter sehr lange dauert, ist es nicht sinnvoll sie bei jedem Sitzungsaufbau zwischen OpenVPN-Client und -Server zu berechnen.
Deshalb werden diese Parameter vorab generiert und in einer Datei abgelegt.
Der folgende Befehl erledigt diese Aufgabe.
Die Berechnung von 4096 Bit-Parametern sollte je nach Hardware höchstens 25 Minuten in Anspruch nehmen\footnote{23 Minuten wurden mit der CPU \enquote{Intel(R) Core(TM) i5 CPU M 450 @ 2.40GHz} gemessen.}.
\begin{lstlisting}
./easyrsa gen-dh
\end{lstlisting}
Anschließen kann die erzeugte Datei in das Konfigurationsverzeichnis des OpenVPN-Servers hinzugefügt werden und über den Parameter \texttt{dh /path/to/dh.pem} in der Serverkonfiguration bekannt gemacht werden.