Änderungen von Dokument Server-Zertifikat

Zuletzt geändert von Michael Oberrauch am 2025/11/03 18:42

Von 1.3 nach 1.2 Von 23.1 nach 22.1

Von Version 22.1

bearbeitet von Leo Fahrbach
am 2025/08/14 12:51

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 1.3

bearbeitet von wikibot
am 2023/02/13 19:51

Änderungskommentar: langfix

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (5 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

@@ -1,1 +1,1 @@
--Server-Zertifikat
++ServerZertifikate

Übergeordnete Seite

...	...	@@ -1,1 +1,0 @@
1		-CIT.ITO.Docs.Services.Certificates.WebHome

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.fahrbach
++XWiki.wikibot

Syntax

@@ -1,1 +1,1 @@
--Markdown 1.2
++XWiki 2.1

Inhalt

@@ -1,50 +1,69 @@
++
++
  {{toc/}}
++
++
++= Server-Zertifikate =
++
  Es werden verschiedene Fälle unterschieden:
--* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
--* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
--* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
--* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
--* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
++ cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Ubuntu_VM"]]
++* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]] oder [[rbg-cert selber einrichten>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
++* andere Domains: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]]
++* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
++* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
--# Ubuntu VM
++== Ubuntu VM ==
  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
--1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
--1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
--1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
--1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
++1 In der [[StrukturDB>>https://rbgwebapp.in.tum.de/struktur/]] müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss ##servicehost## auf den tatsächlichen Host (also Server/VM/...) verweisen.
++   1 Das Zertifikat wird dann in ##/var/lib/rbg-cert/live/HOST.cert.pem## liegen
++   1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in ##/usr/local/cert.d/## ab, die mit ##run-parts(8)## kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
++   1 Nun kann man mit ##rbg-cert## Zertifikate beantragen:
--```
--# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
++
++{{html wiki="true"}}
++{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
  rbg-cert --show
--# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
++# Initiale Beantragung oder nach Namens&#228;nderung neues Zertifikat beantragen:
  rbg-cert --force-request
--# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
++# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer l&#228;uft):
  rbg-cert
--```
++{{/code}}
++{{/html}}
--`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
++
++##rbg-cert.service## und ##rbg-cert.timer## **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
++
  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
--## Beispiel-Script für server reload
++=== Beispiel-Script für server reload ===
--Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
--Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
++Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
++Am einfachsten mit Scripten in ##/usr/local/cert.d/...##, die ausführbar sind (##chmod +x##):
--## Beispiel für Apache
++=== Beispiel für Apache ===
--Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
++Im ##VirtualHost## Block in ##/etc/apache2/sites-enabled/MYSERVICE.conf##:
--    SSLCertificateFile /etc/apache2/tls/fullchain.pem
--    SSLCertificateKeyFile /etc/apache2/tls/key.pem
--Und der automatische renew-hook (`chmod +x` nicht vergessen!)
++{{html wiki="true"}}
++{{code}}
++SSLCertificateFile /etc/apache2/tls/fullchain.pem
++SSLCertificateKeyFile /etc/apache2/tls/key.pem
++{{/code}}
++{{/html}}
--```
++
++
++Und der automatische renew-hook (##chmod +x## nicht vergessen!)
++
++
++{{html wiki="true"}}
++{{code}}
  $ cat /usr/local/cert.d/apache2
  #!/bin/bash
  set -o nounset
@@ -58,12 +58,16 @@
  install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
  systemctl reload apache2.service
--```
++{{/code}}
++{{/html}}
--## Beispiel für nginx
--```
--$ cat /etc/nginx/conf.d/ssl.conf
++
++=== Beispiel für nginx ===
++
++
++{{html wiki="true"}}
++{{code}}$ cat /etc/nginx/conf.d/ssl.conf
  # config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
  ssl_certificate /etc/nginx/tls/fullchain.pem;  # cert + parent CAs except root CA
@@ -85,11 +85,16 @@
  add_header X-XSS-Protection "1; mode=block";
  add_header X-Content-Type-Options nosniff;
--```
++{{/code}}
++{{/html}}
--Und der renew-hook (`chmod +x` nicht vergessen!)
--```
++
++Und der renew-hook (##chmod +x## nicht vergessen!)
++
++
++{{html wiki="true"}}
++{{code}}
  $ cat /usr/local/cert.d/nginx
  #!/bin/bash
  set -o nounset
@@ -103,12 +103,16 @@
  install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
  systemctl reload nginx.service
--```
++{{/code}}
++{{/html}}
--## Allgemeines Beispiel
--```
--$ cat /usr/local/cert.d/yourservice
++
++=== Allgemeines Beispiel ===
++
++
++{{html wiki="true"}}
++{{code}}$ cat /usr/local/cert.d/yourservice
  #!/bin/bash
  set -o nounset
  set -o errexit
@@ -119,74 +119,84 @@
  #install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
  #install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
  #systemctl reload mydaemon
--```
++{{/code}}
++{{/html}}
--# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
++
++== Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden ==
++
  Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
--_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
++//Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren//. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
--## Vorbereitung bei Nutzung von rbg-cert
++=== Vorbereitung bei Nutzung von rbg-cert ===
--Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
++Das Programm ##rbg-cert## verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
--    UQN=host:f:YOURHOSTNAME.cit.tum.de
--    echo $UQN > /etc/uqn
--    apt install python3-cryptography
--
--    mkdir -pm755 /usr/local/cert.d/        # for post-renew trigger scripts
--    mkdir -pm700 /var/lib/rbg-cert/live/   # certs will be here
--    cd /var/lib/rbg-cert/live/
--
--    # Private Key erstellen
--    openssl genrsa -out $UQN.privkey.pem 4096
--    openssl rsa -in $UQN.privkey.pem -pubout
--    # Diesen pubkey dann in der StrukturDB für PIRA registrieren
--`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
++{{html wiki="true"}}
++{{code}}echo $UQN > /etc/uqn
++apt install strongswan-pki
++apt install python3-cryptography
--```
--scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
--scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
--scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
--systemctl enable rbg-cert.timer
--```
++mkdir -pm755 /usr/local/cert.d/        # for post-renew trigger scripts
++mkdir -pm700 /var/lib/rbg-cert/live/   # certs will be here
++cd /var/lib/rbg-cert/live/
++pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
++# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
++
++pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
++# Diesen pubkey dann in der StrukturDB f&#252;r PIRA registrieren
++{{/code}}
++{{/html}}
++
++
++
++##rbg-cert## und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
++
  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
--## Enrollment
++=== Enrollment ===
--Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
++Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per https://rbgwebapp.in.tum.de/struktur/treeview. Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
--## API
++=== API ===
  Production:
--    URL: https://pira.in.tum.de/v0/server/[UQN]
--
--      GET → {cert, chain, fullchain, names, should_renew}
--      POST {csr}
++
++{{html wiki="true"}}
++{{code}}URL: https://pira.in.tum.de/v0/server/[UQN]
++
++  GET &#8594; {cert, chain, fullchain, names, should_renew}
++  POST {csr}
++{{/code}}
++{{/html}}
++
++
++
  Hier sind keine Tests zulässig.
  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
--# Sonderfall manuelle Ausstellung
++== Sonderfall manuelle Ausstellung ==
  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
--1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
--1. Certificate Signing Request (`csr`) erzeugen
--`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
--Weitere namen in csr packen:
--`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
--1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
--    1. `.csr` hochladen
--    1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
--    1. alle anderen Felder leer lassen
--1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
--1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
--1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
++1 Auf dem Zielserver z.B. nach ##/etc/ssl/private## wechseln
++   1 Certificate Signing Request (##csr##) erzeugen
++     {{{
++openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr  -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
++}}}
++   1 [[Bei der CA>>https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN]]:
++      1 ##.csr## hochladen
++      1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
++      1 alle anderen Felder leer lassen
++   1 Bitte den ##commonName## (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
++   1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
++   1 [[herunterladen>>https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download]] mit ID und "Certificate (w/issuer after)"

Änderungen von Dokument Server-Zertifikat

Zusammenfassung

Details

Navigation