Changes for page Server-Zertifikat

Last modified by Michael Oberrauch on 2025/11/03 18:42
From version 23.1
edited by Michael Oberrauch
on 2025/11/03 18:42
Change comment: There is no comment for this version
To version 18.1
edited by Jonas Jelten
on 2024/08/23 12:30
Change comment: There is no comment for this version

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.oberrauc
1 +XWiki.jelten
Content
... ... @@ -132,34 +132,29 @@
132 132  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
133 133  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
134 134  
135 - UQN=host:f:YOURHOSTNAME.cit.tum.de
136 - echo $UQN > /etc/uqn
137 - apt install python3-cryptography
138 -
139 - mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
140 - mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
141 - cd /var/lib/rbg-cert/live/
142 -
143 - # Private Key erstellen
144 - openssl genrsa -out $UQN.privkey.pem 4096
145 -
146 - openssl rsa -in $UQN.privkey.pem -pubout
147 - # Diesen pubkey dann in der StrukturDB für PIRA registrieren
135 +```
136 +echo $UQN > /etc/uqn
137 +apt install strongswan-pki
138 +apt install python3-cryptography
148 148  
149 -`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
140 +mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
141 +mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
142 +cd /var/lib/rbg-cert/live/
150 150  
144 +pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
145 +# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
146 +
147 +pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
148 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren
151 151  ```
152 -scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
153 -scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
154 -scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
155 -systemctl enable rbg-cert.timer
156 -```
157 157  
151 +`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
152 +
158 158  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
159 159  
160 160  ## Enrollment
161 161  
162 -Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
157 +Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://rbgwebapp.in.tum.de/struktur/](https://rbgwebapp.in.tum.de/struktur/) . Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
163 163  
164 164  ## API
165 165  
... ... @@ -183,10 +183,10 @@
183 183  `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
184 184  Weitere namen in csr packen:
185 185  `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
186 -1. [Bei der CA](https://cm.harica.gr):
181 +1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
187 187   1. `.csr` hochladen
188 188   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
189 189   1. alle anderen Felder leer lassen
190 190  1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
191 191  1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
192 -1. [herunterladen](https://cm.harica.gr) mit ID und "Certificate (w/issuer after)"
187 +1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"