Änderungen von Dokument Server-Zertifikat

Zuletzt geändert von Leo Fahrbach am 2025/06/18 12:29
Von Version 19.1
bearbeitet von Leo Fahrbach
am 2025/06/18 12:29
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 13.1
bearbeitet von Thomas Walter Erbesdobler
am 2023/07/06 15:05
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Server-Zertifikat
1 +Server-Zertifikate
Übergeordnete Seite
... ... @@ -1,1 +1,0 @@
1 -CIT.ITO.Docs.Services.Certificates.WebHome
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.fahrbach
1 +XWiki.erbesdob
Inhalt
... ... @@ -5,7 +5,7 @@
5 5  * cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 6  * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 7  * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 -* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
8 +* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
9 9  * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
10 10  
11 11  # Ubuntu VM
... ... @@ -133,7 +133,6 @@
133 133  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
134 134  
135 135  ```
136 -UQN=host:f:YOURHOSTNAME.cit.tum.de
137 137  echo $UQN > /etc/uqn
138 138  apt install strongswan-pki
139 139  apt install python3-cryptography
... ... @@ -142,27 +142,20 @@
142 142  mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
143 143  cd /var/lib/rbg-cert/live/
144 144  
145 -openssl genpkey -algorithm x25519 -out $UQN.privkey.pem
146 -# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096
144 +pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
145 +# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
147 147  
148 -openssl pkey -in $UQN.privkey.pem -pubout
149 -# für RSA: openssl rsa -in $UQN.privkey.pem -pubout
147 +pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
150 150  # Diesen pubkey dann in der StrukturDB für PIRA registrieren
151 151  ```
152 152  
153 153  `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
154 -```
155 -scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
156 -scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
157 -scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
158 -systemctl enable rbg-cert.timer
159 -```
160 160  
161 161  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
162 162  
163 163  ## Enrollment
164 164  
165 -Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
157 +Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
166 166  
167 167  ## API
168 168  
... ... @@ -182,14 +182,17 @@
182 182  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
183 183  
184 184  1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
185 -1. Certificate Signing Request (`csr`) erzeugen
186 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
187 -Weitere namen in csr packen:
188 -`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
177 +1. Certificate Signing Request (`csr`) erzeugen
178 +
179 + ```none
180 + openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
181 + ```
182 + Weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
183 +
189 189  1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
190 190   1. `.csr` hochladen
191 191   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
192 192   1. alle anderen Felder leer lassen
193 -1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
188 +1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
194 194  1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
195 195  1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"