Changes for page Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30
From version 3.1
edited by Leo Fahrbach
on 2023/05/19 14:59
Change comment: There is no comment for this version
To version 5.1
edited by Jonas Jelten
on 2023/05/25 12:47
Change comment: There is no comment for this version

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.fahrbach
1 +XWiki.jelten
Content
... ... @@ -4,7 +4,7 @@
4 4  
5 5  Es werden verschiedene Fälle unterschieden:
6 6  
7 - cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
7 +cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
8 8  
9 9  * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
10 10  * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
... ... @@ -16,9 +16,9 @@
16 16  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
17 17  
18 18  1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
19 - 1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
20 - 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
21 - 1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
19 +1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
20 +1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
21 +1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
22 22  
23 23  ```
24 24  # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
... ... @@ -28,6 +28,7 @@
28 28  # Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
29 29  rbg-cert
30 30  ```
31 +
31 31  `rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
32 32  
33 33  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
... ... @@ -110,6 +110,7 @@
110 110  ```
111 111  
112 112  ### Allgemeines Beispiel
114 +
113 113  ```
114 114  $ cat /usr/local/cert.d/yourservice
115 115  #!/bin/bash
... ... @@ -134,6 +134,7 @@
134 134  
135 135  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
136 136  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
139 +
137 137  ```
138 138  echo $UQN > /etc/uqn
139 139  apt install strongswan-pki
... ... @@ -177,13 +177,14 @@
177 177  
178 178  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
179 179  
180 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
181 -2. Certificate Signing Request (`csr`) erzeugen
182 - `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
183 -3. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
184 - 1. `.csr` hochladen
185 - 2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
186 - 3. alle anderen Felder leer lassen
187 -4. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
188 -5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
189 -6. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
183 +1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
184 +1. Certificate Signing Request (`csr`) erzeugen
185 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
186 + - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
187 +1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
188 + 1. `.csr` hochladen
189 + 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
190 + 1. alle anderen Felder leer lassen
191 +1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
192 +1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
193 +1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"