Server-Zertifikat

Es werden verschiedene Fälle unterschieden:

* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

6

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

7

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

8

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.

9

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

# Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

14

15

1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

16

1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

17

1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

18

1. Nun kann man mit `rbg-cert` Zertifikate beantragen:

19

20

```

21

# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

22

rbg-cert --show

23

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

24

rbg-cert --force-request

25

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

rbg-cert

```

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

30

31

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

32

33

## Beispiel-Script für server reload

34

35

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

36

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

37

38

## Beispiel für Apache

39

40

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

41

42

SSLCertificateFile /etc/apache2/tls/fullchain.pem

43

SSLCertificateKeyFile /etc/apache2/tls/key.pem

44

45

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

46

47

```

48

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

54

55

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

56

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

57

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

58

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

59

60

systemctl reload apache2.service

61

```

62

63

## Beispiel für nginx

64

65

```

66

$ cat /etc/nginx/conf.d/ssl.conf

67

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

68

69

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

70

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

71

ssl_session_timeout 1d;

72

ssl_session_cache shared:SSL:50m;

73

ssl_session_tickets off;

74

75

# intermediate configuration

76

ssl_protocols TLSv1.2 TLSv1.3;

77

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

78

#ssl_prefer_server_ciphers off;

79

80

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

81

add_header Strict-Transport-Security "max-age=63072000" always;

82

83

# verify chain of trust of OCSP response using Root CA and Intermediate certs

84

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

85

86

add_header X-XSS-Protection "1; mode=block";

87

add_header X-Content-Type-Options nosniff;

88

```

89

90

Und der renew-hook (`chmod +x` nicht vergessen!)

91

92

```

93

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

99

100

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

101

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

102

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

103

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

104

105

systemctl reload nginx.service

106

```

107

108

## Allgemeines Beispiel

109

110

```

111

$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

117

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

118

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

119

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

120

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

121

#systemctl reload mydaemon

122

```

123

124

# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

125

126

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

127

128

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

129

130

## Vorbereitung bei Nutzung von rbg-cert

131

132

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

133

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

134

135

```

136

UQN=host:f:YOURHOSTNAME.cit.tum.de

137

echo $UQN > /etc/uqn

138

apt install strongswan-pki

139

apt install python3-cryptography

140

141

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

142

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

143

cd /var/lib/rbg-cert/live/

144

145

openssl genpkey -algorithm x25519 -out $UQN.privkey.pem

146

# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096

147

148

openssl pkey -in $UQN.privkey.pem -pubout

149

# für RSA: openssl rsa -in $UQN.privkey.pem -pubout

150

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

151

```

152

153

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

154

```

155

scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert

156

scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service

157

scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer

158

systemctl enable rbg-cert.timer

159

```

160

161

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

## Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).

## API

Production:

URL: https://pira.in.tum.de/v0/server/[UQN]

172

173

GET → {cert, chain, fullchain, names, should_renew}

174

POST {csr}

175

176

Hier sind keine Tests zulässig.

177

178

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

179

180

# Sonderfall manuelle Ausstellung

181

182

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

183

184

1. Auf dem Zielserver z.B. nach `/etc/ssl/private`

185

1. Certificate Signing Request (`csr`) erzeugen

186

`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`

187

Weitere namen in csr packen:

188

`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`

189

1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

190

1. `.csr` hochladen

191

1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

192

1. alle anderen Felder leer lassen

193

1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.

194

1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

195

1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki-Quellcode von Server-Zertifikat

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	Es werden verschiedene Fälle unterschieden:
		4
		5	* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		6	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		7	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		8	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
		9	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		10
		11	# Ubuntu VM
		12
		13	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		14
		15	1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		16	1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		17	1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		18	1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
		19
		20	```
		21	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		22	rbg-cert --show
		23	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		24	rbg-cert --force-request
		25	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		26	rbg-cert
		27	```
		28
		29	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		30
		31	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		32
		33	## Beispiel-Script für server reload
		34
		35	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		36	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		37
		38	## Beispiel für Apache
		39
		40	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		41
		42	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		43	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		44
		45	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		46
		47	```
		48	$ cat /usr/local/cert.d/apache2
		49	#!/bin/bash
		50	set -o nounset
		51	set -o errexit
		52
		53	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		54
		55	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		56	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		57	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		58	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		59
		60	systemctl reload apache2.service
		61	```
		62
		63	## Beispiel für nginx
		64
		65	```
		66	$ cat /etc/nginx/conf.d/ssl.conf
		67	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		68
		69	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		70	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		71	ssl_session_timeout 1d;
		72	ssl_session_cache shared:SSL:50m;
		73	ssl_session_tickets off;
		74
		75	# intermediate configuration
		76	ssl_protocols TLSv1.2 TLSv1.3;
		77	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		78	#ssl_prefer_server_ciphers off;
		79
		80	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		81	add_header Strict-Transport-Security "max-age=63072000" always;
		82
		83	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		84	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		85
		86	add_header X-XSS-Protection "1; mode=block";
		87	add_header X-Content-Type-Options nosniff;
		88	```
		89
		90	Und der renew-hook (`chmod +x` nicht vergessen!)
		91
		92	```
		93	$ cat /usr/local/cert.d/nginx
		94	#!/bin/bash
		95	set -o nounset
		96	set -o errexit
		97
		98	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		99
		100	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		101	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		102	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		103	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		104
		105	systemctl reload nginx.service
		106	```
		107
		108	## Allgemeines Beispiel
		109
		110	```
		111	$ cat /usr/local/cert.d/yourservice
		112	#!/bin/bash
		113	set -o nounset
		114	set -o errexit
		115
		116	# of course, the paths may vary on your setup!
		117	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		118	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		119	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		120	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		121	#systemctl reload mydaemon
		122	```
		123
		124	# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		125
		126	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		127
		128	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		129
		130	## Vorbereitung bei Nutzung von rbg-cert
		131
		132	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		133	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		134
		135	```
		136	UQN=host:f:YOURHOSTNAME.cit.tum.de
		137	echo $UQN > /etc/uqn
		138	apt install strongswan-pki
		139	apt install python3-cryptography
		140
		141	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		142	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		143	cd /var/lib/rbg-cert/live/
		144
		145	openssl genpkey -algorithm x25519 -out $UQN.privkey.pem
		146	# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096
		147
		148	openssl pkey -in $UQN.privkey.pem -pubout
		149	# für RSA: openssl rsa -in $UQN.privkey.pem -pubout
		150	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		151	```
		152
		153	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		154	```
		155	scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
		156	scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
		157	scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
		158	systemctl enable rbg-cert.timer
		159	```
		160
		161	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		162
		163	## Enrollment
		164
		165	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
		166
		167	## API
		168
		169	Production:
		170
		171	URL: https://pira.in.tum.de/v0/server/[UQN]
		172
		173	GET → {cert, chain, fullchain, names, should_renew}
		174	POST {csr}
		175
		176	Hier sind keine Tests zulässig.
		177
		178	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		179
		180	# Sonderfall manuelle Ausstellung
		181
		182	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		183
		184	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
		185	1. Certificate Signing Request (`csr`) erzeugen
		186	`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
		187	Weitere namen in csr packen:
		188	`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
		189	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		190	1. `.csr` hochladen
		191	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		192	1. alle anderen Felder leer lassen
		193	1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
		194	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		195	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"