Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30

Es werden verschiedene Fälle unterschieden:

Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

  1. In der StrukturDB müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss servicehost auf den tatsächlichen Host (also Server/VM/...) verweisen.
  2. Das Zertifikat wird dann in /var/lib/rbg-cert/live/HOST.cert.pem liegen
  3. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in /usr/local/cert.d/ ab, die mit run-parts(8) kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
  4. Nun kann man mit rbg-cert Zertifikate beantragen:
# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
rbg-cert --show
# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
rbg-cert --force-request
# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
rbg-cert

rbg-cert.service und rbg-cert.timer verlängern das Zertifikat automatisch 30 Tage vor Ablauf.

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

Beispiel-Script für server reload

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
Am einfachsten mit Scripten in /usr/local/cert.d/..., die ausführbar sind (chmod +x):

Beispiel für Apache

Im VirtualHost Block in /etc/apache2/sites-enabled/MYSERVICE.conf:

SSLCertificateFile /etc/apache2/tls/fullchain.pem
SSLCertificateKeyFile /etc/apache2/tls/key.pem

Und der automatische renew-hook (chmod +x nicht vergessen!)

$ cat /usr/local/cert.d/apache2
#!/bin/bash
set -o nounset
set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

systemctl reload apache2.service

Beispiel für nginx

$ cat /etc/nginx/conf.d/ssl.conf
# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

ssl_certificate /etc/nginx/tls/fullchain.pem;  # cert + parent CAs except root CA
ssl_certificate_key /etc/nginx/tls/key.pem;    # secret key
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
#ssl_prefer_server_ciphers off;

# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;

# verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;

Und der renew-hook (chmod +x nicht vergessen!)

$ cat /usr/local/cert.d/nginx
#!/bin/bash
set -o nounset
set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

systemctl reload nginx.service

Allgemeines Beispiel

$ cat /usr/local/cert.d/yourservice
#!/bin/bash
set -o nounset
set -o errexit

# of course, the paths may vary on your setup!
#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
#systemctl reload mydaemon

Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

Vorbereitung bei Nutzung von rbg-cert

Das Programm rbg-cert verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

echo $UQN > /etc/uqn
apt install strongswan-pki
apt install python3-cryptography

mkdir -pm755 /usr/local/cert.d/        # for post-renew trigger scripts
mkdir -pm700 /var/lib/rbg-cert/live/   # certs will be here
cd /var/lib/rbg-cert/live/

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
# Diesen pubkey dann in der StrukturDB für PIRA registrieren

rbg-cert und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per https://rbgwebapp.in.tum.de/struktur/ . Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

API

Production:

URL: https://pira.in.tum.de/v0/server/[UQN]

  GET → {cert, chain, fullchain, names, should_renew}
  POST {csr}

Hier sind keine Tests zulässig.

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

Sonderfall manuelle Ausstellung

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

  1. Auf dem Zielserver z.B. nach /etc/ssl/private
  2. Certificate Signing Request (csr) erzeugen
    openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
    Weitere namen in csr packen:
    -addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"
  3. Bei der CA:
    1. .csr hochladen
    2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
    3. alle anderen Felder leer lassen
  4. Bitte den commonName (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an support@ito.cit.tum.de schicken.
  5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
  6. herunterladen mit ID und "Certificate (w/issuer after)"