Changes for page Server-Zertifikat

Last modified by Michael Oberrauch on 2025/11/03 18:42
From version 23.1
edited by Michael Oberrauch
on 2025/11/03 18:42
Change comment: There is no comment for this version
To version 19.1
edited by Leo Fahrbach
on 2025/06/18 12:29
Change comment: There is no comment for this version

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.oberrauc
1 +XWiki.fahrbach
Content
... ... @@ -132,23 +132,26 @@
132 132  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
133 133  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
134 134  
135 - UQN=host:f:YOURHOSTNAME.cit.tum.de
136 - echo $UQN > /etc/uqn
137 - apt install python3-cryptography
138 -
139 - mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
140 - mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
141 - cd /var/lib/rbg-cert/live/
142 -
143 - # Private Key erstellen
144 - openssl genrsa -out $UQN.privkey.pem 4096
145 -
146 - openssl rsa -in $UQN.privkey.pem -pubout
147 - # Diesen pubkey dann in der StrukturDB für PIRA registrieren
135 +```
136 +UQN=host:f:YOURHOSTNAME.cit.tum.de
137 +echo $UQN > /etc/uqn
138 +apt install strongswan-pki
139 +apt install python3-cryptography
148 148  
149 -`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
141 +mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
142 +mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
143 +cd /var/lib/rbg-cert/live/
150 150  
145 +openssl genpkey -algorithm x25519 -out $UQN.privkey.pem
146 +# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096
147 +
148 +openssl pkey -in $UQN.privkey.pem -pubout
149 +# für RSA: openssl rsa -in $UQN.privkey.pem -pubout
150 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren
151 151  ```
152 +
153 +`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
154 +```
152 152  scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
153 153  scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
154 154  scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
... ... @@ -183,10 +183,10 @@
183 183  `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
184 184  Weitere namen in csr packen:
185 185  `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
186 -1. [Bei der CA](https://cm.harica.gr):
189 +1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
187 187   1. `.csr` hochladen
188 188   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
189 189   1. alle anderen Felder leer lassen
190 190  1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
191 191  1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
192 -1. [herunterladen](https://cm.harica.gr) mit ID und "Certificate (w/issuer after)"
195 +1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"