Änderungen von Dokument Server-Zertifikat

Zusammenfassung

• Seiteneigenschaften (4 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

...	...	@@ -1,1 +1,1 @@
1		-Server-Zertifikat
	1	+Server-Zertifikate

Übergeordnete Seite

...	...	@@ -1,1 +1,0 @@
1		-CIT.ITO.Docs.Services.Certificates.WebHome

Dokument-Autor

...	...	@@ -1,1 +1,1 @@
1		-XWiki.fahrbach
	1	+XWiki.erbesdob

Inhalt

...	...	@@ -2,10 +2,11 @@
2	2
3	3	Es werden verschiedene Fälle unterschieden:
4	4
5		-* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
	5	+cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
	6	+
6	6	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7	7	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8		-* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
	9	+* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
9	9	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
10	10
11	11	# Ubuntu VM
...	...	@@ -12,10 +12,10 @@
12	12
13	13	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
14	14
15		-1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
16		-1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
17		-1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
18		-1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
	16	+1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
	17	+1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
	18	+1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
	19	+1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
19	19
20	20	```
21	21	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
...	...	@@ -39,8 +39,10 @@
39	39
40	40	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
41	41
42		- SSLCertificateFile /etc/apache2/tls/fullchain.pem
43		- SSLCertificateKeyFile /etc/apache2/tls/key.pem
	43	+```
	44	+SSLCertificateFile /etc/apache2/tls/fullchain.pem
	45	+SSLCertificateKeyFile /etc/apache2/tls/key.pem
	46	+```
44	44
45	45	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
46	46
...	...	@@ -133,7 +133,6 @@
133	133	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
134	134
135	135	```
136		-UQN=host:f:YOURHOSTNAME.cit.tum.de
137	137	echo $UQN > /etc/uqn
138	138	apt install strongswan-pki
139	139	apt install python3-cryptography
...	...	@@ -142,37 +142,32 @@
142	142	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
143	143	cd /var/lib/rbg-cert/live/
144	144
145		-openssl genpkey -algorithm x25519 -out $UQN.privkey.pem
146		-# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096
	147	+pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
	148	+# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
147	147
148		-openssl pkey -in $UQN.privkey.pem -pubout
149		-# für RSA: openssl rsa -in $UQN.privkey.pem -pubout
150		-# Diesen pubkey dann in der StrukturDB für PIRA registrieren
	150	+pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
	151	+# Diesen pubkey dann in der StrukturDB für PIRA registrieren
151	151	```
152	152
153	153	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
154		-```
155		-scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
156		-scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
157		-scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
158		-systemctl enable rbg-cert.timer
159		-```
160	160
161	161	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
162	162
163	163	## Enrollment
164	164
165		-Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
	160	+Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
166	166
167	167	## API
168	168
169	169	Production:
170	170
171		- URL: https://pira.in.tum.de/v0/server/[UQN]
172		-
173		- GET → {cert, chain, fullchain, names, should_renew}
174		- POST {csr}
	166	+```
	167	+URL: https://pira.in.tum.de/v0/server/[UQN]
175	175
	169	+ GET → {cert, chain, fullchain, names, should_renew}
	170	+ POST {csr}
	171	+```
	172	+
176	176	Hier sind keine Tests zulässig.
177	177
178	178	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
...	...	@@ -183,13 +183,12 @@
183	183
184	184	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
185	185	1. Certificate Signing Request (`csr`) erzeugen
186		-`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
187		-Weitere namen in csr packen:
188		-`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
	183	+`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
	184	+ - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
189	189	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
190	190	1. `.csr` hochladen
191	191	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
192	192	1. alle anderen Felder leer lassen
193		-1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
	189	+1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
194	194	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
195	195	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"