Änderungen von Dokument Server-Zertifikat

Zuletzt geändert von Jonas Jelten am 2024/08/23 12:30
Von Version 1.3
bearbeitet von wikibot
am 2023/02/13 19:51
Änderungskommentar: langfix
Auf Version 3.1
bearbeitet von Leo Fahrbach
am 2023/05/19 14:59
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.wikibot
1 +XWiki.fahrbach
Syntax
... ... @@ -1,1 +1,1 @@
1 -XWiki 2.1
1 +Markdown 1.2
Inhalt
... ... @@ -1,69 +3,54 @@
1 -
2 -
3 3  {{toc/}}
4 4  
3 +# Server-Zertifikate
5 5  
6 -
7 -= Server-Zertifikate =
8 -
9 9  Es werden verschiedene Fälle unterschieden:
10 10  
11 - cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Ubuntu_VM"]]
12 -* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]] oder [[rbg-cert selber einrichten>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
13 -* andere Domains: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]]
14 -* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
15 -* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
7 + cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
16 16  
17 -== Ubuntu VM ==
9 +* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
10 +* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
11 +* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
12 +* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
18 18  
14 +## Ubuntu VM
15 +
19 19  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
20 20  
21 -1 In der [[StrukturDB>>https://rbgwebapp.in.tum.de/struktur/]] müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss ##servicehost## auf den tatsächlichen Host (also Server/VM/...) verweisen.
22 - 1 Das Zertifikat wird dann in ##/var/lib/rbg-cert/live/HOST.cert.pem## liegen
23 - 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in ##/usr/local/cert.d/## ab, die mit ##run-parts(8)## kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
24 - 1 Nun kann man mit ##rbg-cert## Zertifikate beantragen:
18 +1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
19 + 1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
20 + 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
21 + 1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
25 25  
26 -
27 -{{html wiki="true"}}
28 -{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
23 +```
24 +# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
29 29  rbg-cert --show
30 -# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
26 +# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
31 31  rbg-cert --force-request
32 -# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
28 +# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
33 33  rbg-cert
34 -{{/code}}
35 -{{/html}}
30 +```
31 +`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
36 36  
37 -
38 -
39 -##rbg-cert.service## und ##rbg-cert.timer## **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
40 -
41 41  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
42 42  
43 -=== Beispiel-Script für server reload ===
35 +### Beispiel-Script für server reload
44 44  
45 -Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
46 -Am einfachsten mit Scripten in ##/usr/local/cert.d/...##, die ausführbar sind (##chmod +x##):
37 +Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
38 +Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
47 47  
48 -=== Beispiel für Apache ===
40 +### Beispiel für Apache
49 49  
50 -Im ##VirtualHost## Block in ##/etc/apache2/sites-enabled/MYSERVICE.conf##:
42 +Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
51 51  
52 -
53 -{{html wiki="true"}}
54 -{{code}}
44 +```
55 55  SSLCertificateFile /etc/apache2/tls/fullchain.pem
56 56  SSLCertificateKeyFile /etc/apache2/tls/key.pem
57 -{{/code}}
58 -{{/html}}
47 +```
59 59  
49 +Und der automatische renew-hook (`chmod +x` nicht vergessen!)
60 60  
61 -
62 -Und der automatische renew-hook (##chmod +x## nicht vergessen!)
63 -
64 -
65 -{{html wiki="true"}}
66 -{{code}}
51 +```
67 67  $ cat /usr/local/cert.d/apache2
68 68  #!/bin/bash
69 69  set -o nounset
... ... @@ -77,16 +77,12 @@
77 77  install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
78 78  
79 79  systemctl reload apache2.service
80 -{{/code}}
81 -{{/html}}
65 +```
82 82  
67 +### Beispiel für nginx
83 83  
84 -
85 -=== Beispiel für nginx ===
86 -
87 -
88 -{{html wiki="true"}}
89 -{{code}}$ cat /etc/nginx/conf.d/ssl.conf
69 +```
70 +$ cat /etc/nginx/conf.d/ssl.conf
90 90  # config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
91 91  
92 92  ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
... ... @@ -108,16 +108,11 @@
108 108  
109 109  add_header X-XSS-Protection "1; mode=block";
110 110  add_header X-Content-Type-Options nosniff;
111 -{{/code}}
112 -{{/html}}
92 +```
113 113  
94 +Und der renew-hook (`chmod +x` nicht vergessen!)
114 114  
115 -
116 -Und der renew-hook (##chmod +x## nicht vergessen!)
117 -
118 -
119 -{{html wiki="true"}}
120 -{{code}}
96 +```
121 121  $ cat /usr/local/cert.d/nginx
122 122  #!/bin/bash
123 123  set -o nounset
... ... @@ -131,16 +131,11 @@
131 131  install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
132 132  
133 133  systemctl reload nginx.service
134 -{{/code}}
135 -{{/html}}
110 +```
136 136  
137 -
138 -
139 -=== Allgemeines Beispiel ===
140 -
141 -
142 -{{html wiki="true"}}
143 -{{code}}$ cat /usr/local/cert.d/yourservice
112 +### Allgemeines Beispiel
113 +```
114 +$ cat /usr/local/cert.d/yourservice
144 144  #!/bin/bash
145 145  set -o nounset
146 146  set -o errexit
... ... @@ -151,26 +151,20 @@
151 151  #install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
152 152  #install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
153 153  #systemctl reload mydaemon
154 -{{/code}}
155 -{{/html}}
125 +```
156 156  
127 +## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
157 157  
158 -
159 -== Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden ==
160 -
161 161  Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
162 162  
163 -//Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren//. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
131 +_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
164 164  
165 -=== Vorbereitung bei Nutzung von rbg-cert ===
133 +### Vorbereitung bei Nutzung von rbg-cert
166 166  
167 -Das Programm ##rbg-cert## verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
135 +Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
168 168  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
169 -
170 -
171 -
172 -{{html wiki="true"}}
173 -{{code}}echo $UQN > /etc/uqn
137 +```
138 +echo $UQN > /etc/uqn
174 174  apt install strongswan-pki
175 175  apt install python3-cryptography
176 176  
... ... @@ -183,52 +183,42 @@
183 183  
184 184  pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
185 185  # Diesen pubkey dann in der StrukturDB für PIRA registrieren
186 -{{/code}}
187 -{{/html}}
151 +```
188 188  
153 +`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
189 189  
190 -
191 -##rbg-cert## und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
192 -
193 193  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
194 194  
195 -=== Enrollment ===
157 +### Enrollment
196 196  
197 -Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per https://rbgwebapp.in.tum.de/struktur/treeview. Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
159 +Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
198 198  
199 -=== API ===
161 +### API
200 200  
201 201  Production:
202 202  
165 +```
166 +URL: https://pira.in.tum.de/v0/server/[UQN]
203 203  
204 -
205 -{{html wiki="true"}}
206 -{{code}}URL: https://pira.in.tum.de/v0/server/[UQN]
207 -
208 - GET &#8594; {cert, chain, fullchain, names, should_renew}
168 + GET → {cert, chain, fullchain, names, should_renew}
209 209   POST {csr}
210 -{{/code}}
211 -{{/html}}
170 +```
212 212  
213 -
214 -
215 215  Hier sind keine Tests zulässig.
216 216  
217 217  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
218 218  
219 -== Sonderfall manuelle Ausstellung ==
176 +## Sonderfall manuelle Ausstellung
220 220  
221 221  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
222 222  
223 -1 Auf dem Zielserver z.B. nach ##/etc/ssl/private## wechseln
224 - 1 Certificate Signing Request (##csr##) erzeugen
225 - {{{
226 -openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
227 -}}}
228 - 1 [[Bei der CA>>https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN]]:
229 - 1 ##.csr## hochladen
230 - 1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
231 - 1 alle anderen Felder leer lassen
232 - 1 Bitte den ##commonName## (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
233 - 1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
234 - 1 [[herunterladen>>https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download]] mit ID und "Certificate (w/issuer after)"
180 +1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
181 +2. Certificate Signing Request (`csr`) erzeugen
182 + `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
183 +3. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
184 + 1. `.csr` hochladen
185 + 2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
186 + 3. alle anderen Felder leer lassen
187 +4. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
188 +5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
189 +6. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"