Changes for page Server-Zertifikat
Last modified by Jonas Jelten on 2024/08/23 12:30
From version 12.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 15:02
on 2023/07/06 15:02
Change comment:
There is no comment for this version
Summary
-
Page properties (3 modified, 0 added, 0 removed)
Details
- Page properties
-
- Title
-
... ... @@ -1,1 +1,1 @@ 1 -Server -Zertifikate1 +ServerZertifikate - Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. erbesdob1 +XWiki.fahrbach - Content
-
... ... @@ -1,50 +1,59 @@ 1 1 {{toc/}} 2 2 3 +# Server-Zertifikate 4 + 3 3 Es werden verschiedene Fälle unterschieden: 4 4 5 -* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 7 + cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 8 + 6 6 * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]] 7 7 * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) 8 8 * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen. 9 9 * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]] 10 10 11 -# Ubuntu VM 14 +## Ubuntu VM 12 12 13 13 Für neue VMs ist die erforderliche Software bereits vorinstalliert. 14 14 15 -1 .In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.16 -1 .Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen17 -1 .Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.18 -1 .Nun kann man mit `rbg-cert` Zertifikate beantragen:18 +1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen. 19 + 1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen 20 + 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload. 21 + 1 Nun kann man mit `rbg-cert` Zertifikate beantragen: 19 19 20 - ```21 -# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen! 23 +{{html wiki="true"}} 24 +{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen! 22 22 rbg-cert --show 23 -# Initiale Beantragung oder nach Namens änderung neues Zertifikat beantragen:26 +# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen: 24 24 rbg-cert --force-request 25 -# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer l äuft):28 +# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft): 26 26 rbg-cert 27 -``` 30 +{{/code}} 31 +{{/html}} 28 28 29 29 `rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf. 30 30 31 31 Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren. 32 32 33 -## Beispiel-Script für server reload 37 +### Beispiel-Script für server reload 34 34 35 35 Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen. 36 36 Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`): 37 37 38 -## Beispiel für Apache 42 +### Beispiel für Apache 39 39 40 40 Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`: 41 41 42 - SSLCertificateFile /etc/apache2/tls/fullchain.pem 43 - SSLCertificateKeyFile /etc/apache2/tls/key.pem 46 +{{html wiki="true"}} 47 +{{code}} 48 +SSLCertificateFile /etc/apache2/tls/fullchain.pem 49 +SSLCertificateKeyFile /etc/apache2/tls/key.pem 50 +{{/code}} 51 +{{/html}} 44 44 45 45 Und der automatische renew-hook (`chmod +x` nicht vergessen!) 46 46 47 -``` 55 +{{html wiki="true"}} 56 +{{code}} 48 48 $ cat /usr/local/cert.d/apache2 49 49 #!/bin/bash 50 50 set -o nounset ... ... @@ -58,12 +58,13 @@ 58 58 install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem 59 59 60 60 systemctl reload apache2.service 61 -``` 70 +{{/code}} 71 +{{/html}} 62 62 63 -## Beispiel für nginx 73 +### Beispiel für nginx 64 64 65 - ```66 -$ cat /etc/nginx/conf.d/ssl.conf 75 +{{html wiki="true"}} 76 +{{code}}$ cat /etc/nginx/conf.d/ssl.conf 67 67 # config from https://mozilla.github.io/server-side-tls/ssl-config-generator/ 68 68 69 69 ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA ... ... @@ -85,11 +85,13 @@ 85 85 86 86 add_header X-XSS-Protection "1; mode=block"; 87 87 add_header X-Content-Type-Options nosniff; 88 -``` 98 +{{/code}} 99 +{{/html}} 89 89 90 90 Und der renew-hook (`chmod +x` nicht vergessen!) 91 91 92 -``` 103 +{{html wiki="true"}} 104 +{{code}} 93 93 $ cat /usr/local/cert.d/nginx 94 94 #!/bin/bash 95 95 set -o nounset ... ... @@ -103,12 +103,13 @@ 103 103 install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem 104 104 105 105 systemctl reload nginx.service 106 -``` 118 +{{/code}} 119 +{{/html}} 107 107 108 -## Allgemeines Beispiel 121 +### Allgemeines Beispiel 109 109 110 - ```111 -$ cat /usr/local/cert.d/yourservice 123 +{{html wiki="true"}} 124 +{{code}}$ cat /usr/local/cert.d/yourservice 112 112 #!/bin/bash 113 113 set -o nounset 114 114 set -o errexit ... ... @@ -119,21 +119,22 @@ 119 119 #install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem 120 120 #install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem 121 121 #systemctl reload mydaemon 122 -``` 135 +{{/code}} 136 +{{/html}} 123 123 124 -# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden 138 +## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden 125 125 126 126 Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden. 127 127 128 128 _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten. 129 129 130 -## Vorbereitung bei Nutzung von rbg-cert 144 +### Vorbereitung bei Nutzung von rbg-cert 131 131 132 132 Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren. 133 133 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig: 134 134 135 - ```136 -echo $UQN > /etc/uqn 149 +{{html wiki="true"}} 150 +{{code}}echo $UQN > /etc/uqn 137 137 apt install strongswan-pki 138 138 apt install python3-cryptography 139 139 ... ... @@ -145,46 +145,45 @@ 145 145 # Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem 146 146 147 147 pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem 148 -# Diesen pubkey dann in der StrukturDB für PIRA registrieren 149 -``` 162 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren 163 +{{/code}} 164 +{{/html}} 150 150 151 151 `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren. 152 152 153 153 Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten! 154 154 155 -## Enrollment 170 +### Enrollment 156 156 157 157 Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden. 158 158 159 -## API 174 +### API 160 160 161 161 Production: 162 162 163 - URL: https://pira.in.tum.de/v0/server/[UQN] 164 - 165 - GET → {cert, chain, fullchain, names, should_renew} 166 - POST {csr} 178 +{{html wiki="true"}} 179 +{{code}}URL: https://pira.in.tum.de/v0/server/[UQN] 167 167 181 + GET → {cert, chain, fullchain, names, should_renew} 182 + POST {csr} 183 +{{/code}} 184 +{{/html}} 185 + 168 168 Hier sind keine Tests zulässig. 169 169 170 170 Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen. 171 171 172 -# Sonderfall manuelle Ausstellung 190 +## Sonderfall manuelle Ausstellung 173 173 174 174 Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind: 175 175 176 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private` 177 -1. Certificate Signing Request (`csr`) erzeugen 178 - 179 - ```none 180 - openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de' 181 - ``` 182 - * weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"` 183 - 184 -1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN): 185 - 1. `.csr` hochladen 186 - 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 187 - 1. alle anderen Felder leer lassen 188 -1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken. 189 -1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 190 -1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)" 194 +1 Auf dem Zielserver z.B. nach `/etc/ssl/private` wechseln 195 + 1 Certificate Signing Request (`csr`) erzeugen 196 + 197 + 1 [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN): 198 + 1 `.csr` hochladen 199 + 1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 200 + 1 alle anderen Felder leer lassen 201 + 1 Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken. 202 + 1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 203 + 1 [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"