Changes for page Server-Zertifikat

Last modified by Leo Fahrbach on 2025/08/14 12:51
From version 22.1
edited by Leo Fahrbach
on 2025/08/14 12:51
Change comment: There is no comment for this version
To version 9.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:57
Change comment: There is no comment for this version

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -Server-Zertifikat
1 +Server-Zertifikate
Parent
... ... @@ -1,1 +1,0 @@
1 -CIT.ITO.Docs.Services.Certificates.WebHome
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.fahrbach
1 +XWiki.erbesdob
Content
... ... @@ -2,20 +2,20 @@
2 2  
3 3  Es werden verschiedene Fälle unterschieden:
4 4  
5 -* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 -* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 -* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 -* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
9 -* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
5 + * cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 + * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 + * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 + * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
9 + * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
10 10  
11 11  # Ubuntu VM
12 12  
13 13  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
14 14  
15 -1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
16 -1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
17 -1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
18 -1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
15 + 1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
16 + 1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
17 + 1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
18 + 1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
19 19  
20 20  ```
21 21  # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
... ... @@ -39,8 +39,10 @@
39 39  
40 40  Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
41 41  
42 - SSLCertificateFile /etc/apache2/tls/fullchain.pem
43 - SSLCertificateKeyFile /etc/apache2/tls/key.pem
42 +```none
43 +SSLCertificateFile /etc/apache2/tls/fullchain.pem
44 +SSLCertificateKeyFile /etc/apache2/tls/key.pem
45 +```
44 44  
45 45  Und der automatische renew-hook (`chmod +x` nicht vergessen!)
46 46  
... ... @@ -132,44 +132,41 @@
132 132  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
133 133  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
134 134  
135 - UQN=host:f:YOURHOSTNAME.cit.tum.de
136 - echo $UQN > /etc/uqn
137 - apt install python3-cryptography
138 -
139 - mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
140 - mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
141 - cd /var/lib/rbg-cert/live/
142 -
143 - # Private Key erstellen
144 - openssl genrsa -out $UQN.privkey.pem 4096
137 +```
138 +echo $UQN > /etc/uqn
139 +apt install strongswan-pki
140 +apt install python3-cryptography
145 145  
146 - openssl rsa -in $UQN.privkey.pem -pubout
147 - # Diesen pubkey dann in der StrukturDB für PIRA registrieren
142 +mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
143 +mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
144 +cd /var/lib/rbg-cert/live/
148 148  
149 -`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
146 +pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
147 +# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
150 150  
149 +pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
150 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren
151 151  ```
152 -scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
153 -scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
154 -scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
155 -systemctl enable rbg-cert.timer
156 -```
157 157  
153 +`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
154 +
158 158  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
159 159  
160 160  ## Enrollment
161 161  
162 -Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
159 +Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
163 163  
164 164  ## API
165 165  
166 166  Production:
167 167  
168 - URL: https://pira.in.tum.de/v0/server/[UQN]
169 -
170 - GET → {cert, chain, fullchain, names, should_renew}
171 - POST {csr}
165 +```none
166 +URL: https://pira.in.tum.de/v0/server/[UQN]
172 172  
168 + GET → {cert, chain, fullchain, names, should_renew}
169 + POST {csr}
170 +```
171 +
173 173  Hier sind keine Tests zulässig.
174 174  
175 175  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
... ... @@ -178,15 +178,14 @@
178 178  
179 179  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
180 180  
181 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
182 -1. Certificate Signing Request (`csr`) erzeugen
183 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
184 -Weitere namen in csr packen:
185 -`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
186 -1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
180 + 1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
181 + 1. Certificate Signing Request (`csr`) erzeugen
182 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
183 + - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
184 + 1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
187 187   1. `.csr` hochladen
188 188   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
189 189   1. alle anderen Felder leer lassen
190 -1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
191 -1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
192 -1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
188 + 1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
189 + 1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
190 + 1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"