Changes for page Server-Zertifikat

Last modified by Michael Oberrauch on 2025/11/03 18:42
From version 14.1
edited by Leo Fahrbach
on 2023/12/07 13:31
Change comment: ito cit mail addresse
To version 20.1
edited by Leo Fahrbach
on 2025/08/14 10:29
Change comment: There is no comment for this version

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -Server-Zertifikate
1 +Server-Zertifikat
Parent
... ... @@ -1,0 +1,1 @@
1 +CIT.ITO.Docs.Services.Certificates.WebHome
Content
... ... @@ -5,7 +5,7 @@
5 5  * cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 6  * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 7  * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 -* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
8 +* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
9 9  * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
10 10  
11 11  # Ubuntu VM
... ... @@ -132,29 +132,35 @@
132 132  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
133 133  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
134 134  
135 -```
136 -echo $UQN > /etc/uqn
137 -apt install strongswan-pki
138 -apt install python3-cryptography
135 + UQN=host:f:YOURHOSTNAME.cit.tum.de
136 + echo $UQN > /etc/uqn
137 + apt install python3-cryptography
138 +
139 + mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
140 + mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
141 + cd /var/lib/rbg-cert/live/
142 +
143 + openssl genpkey -algorithm x25519 -out $UQN.privkey.pem
144 + # Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096
145 +
146 + openssl pkey -in $UQN.privkey.pem -pubout
147 + # für RSA: openssl rsa -in $UQN.privkey.pem -pubout
148 + # Diesen pubkey dann in der StrukturDB für PIRA registrieren
139 139  
140 -mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
141 -mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
142 -cd /var/lib/rbg-cert/live/
150 +`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
143 143  
144 -pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
145 -# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
146 -
147 -pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
148 -# Diesen pubkey dann in der StrukturDB für PIRA registrieren
149 149  ```
153 +scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
154 +scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
155 +scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
156 +systemctl enable rbg-cert.timer
157 +```
150 150  
151 -`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
152 -
153 153  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
154 154  
155 155  ## Enrollment
156 156  
157 -Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
163 +Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
158 158  
159 159  ## API
160 160  
... ... @@ -174,7 +174,10 @@
174 174  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
175 175  
176 176  1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
177 -1. Certificate Signing Request (`csr`) erzeugen`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`Weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
183 +1. Certificate Signing Request (`csr`) erzeugen
184 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
185 +Weitere namen in csr packen:
186 +`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
178 178  1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
179 179   1. `.csr` hochladen
180 180   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen