Änderungen von Dokument Server-Zertifikat
Zuletzt geändert von Michael Oberrauch am 2025/11/03 18:42
Von Version 19.1
bearbeitet von Leo Fahrbach
am 2025/06/18 12:29
am 2025/06/18 12:29
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 23.1
bearbeitet von Michael Oberrauch
am 2025/11/03 18:42
am 2025/11/03 18:42
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. fahrbach1 +XWiki.oberrauc - Inhalt
-
... ... @@ -132,26 +132,23 @@ 132 132 Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren. 133 133 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig: 134 134 135 -``` 136 -UQN=host:f:YOURHOSTNAME.cit.tum.de 137 -echo $UQN > /etc/uqn 138 -apt install strongswan-pki 139 -apt install python3-cryptography 135 + UQN=host:f:YOURHOSTNAME.cit.tum.de 136 + echo $UQN > /etc/uqn 137 + apt install python3-cryptography 138 + 139 + mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts 140 + mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here 141 + cd /var/lib/rbg-cert/live/ 142 + 143 + # Private Key erstellen 144 + openssl genrsa -out $UQN.privkey.pem 4096 145 + 146 + openssl rsa -in $UQN.privkey.pem -pubout 147 + # Diesen pubkey dann in der StrukturDB für PIRA registrieren 140 140 141 -mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts 142 -mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here 143 -cd /var/lib/rbg-cert/live/ 149 +`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren. 144 144 145 -openssl genpkey -algorithm x25519 -out $UQN.privkey.pem 146 -# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096 147 - 148 -openssl pkey -in $UQN.privkey.pem -pubout 149 -# für RSA: openssl rsa -in $UQN.privkey.pem -pubout 150 -# Diesen pubkey dann in der StrukturDB für PIRA registrieren 151 151 ``` 152 - 153 -`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren. 154 -``` 155 155 scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert 156 156 scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service 157 157 scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer ... ... @@ -186,10 +186,10 @@ 186 186 `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'` 187 187 Weitere namen in csr packen: 188 188 `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"` 189 -1. [Bei der CA](https://c ert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):186 +1. [Bei der CA](https://cm.harica.gr): 190 190 1. `.csr` hochladen 191 191 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 192 192 1. alle anderen Felder leer lassen 193 193 1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken. 194 194 1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 195 -1. [herunterladen](https://c ert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"192 +1. [herunterladen](https://cm.harica.gr) mit ID und "Certificate (w/issuer after)"