Änderungen von Dokument Server-Zertifikat
Zuletzt geändert von Jonas Jelten am 2024/08/23 12:30
Von Version 3.1
bearbeitet von Leo Fahrbach
am 2023/05/19 14:59
am 2023/05/19 14:59
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 6.1
bearbeitet von Thomas Walter Erbesdobler
am 2023/07/06 14:50
am 2023/07/06 14:50
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Titel
-
... ... @@ -1,1 +1,1 @@ 1 -ServerZertifikate 1 +Server-Zertifikate - Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. fahrbach1 +XWiki.erbesdob - Inhalt
-
... ... @@ -1,10 +1,8 @@ 1 1 {{toc/}} 2 2 3 -# Server-Zertifikate 4 - 5 5 Es werden verschiedene Fälle unterschieden: 6 6 7 - 5 +cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 8 8 9 9 * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]] 10 10 * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) ... ... @@ -11,14 +11,14 @@ 11 11 * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen. 12 12 * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]] 13 13 14 -# #Ubuntu VM12 +# Ubuntu VM 15 15 16 16 Für neue VMs ist die erforderliche Software bereits vorinstalliert. 17 17 18 18 1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen. 19 - 20 - 21 - 17 +1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen 18 +1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload. 19 +1 Nun kann man mit `rbg-cert` Zertifikate beantragen: 22 22 23 23 ``` 24 24 # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen! ... ... @@ -28,16 +28,17 @@ 28 28 # Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft): 29 29 rbg-cert 30 30 ``` 29 + 31 31 `rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf. 32 32 33 33 Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren. 34 34 35 -## #Beispiel-Script für server reload34 +## Beispiel-Script für server reload 36 36 37 37 Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen. 38 38 Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`): 39 39 40 -## #Beispiel für Apache39 +## Beispiel für Apache 41 41 42 42 Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`: 43 43 ... ... @@ -64,7 +64,7 @@ 64 64 systemctl reload apache2.service 65 65 ``` 66 66 67 -## #Beispiel für nginx66 +## Beispiel für nginx 68 68 69 69 ``` 70 70 $ cat /etc/nginx/conf.d/ssl.conf ... ... @@ -109,7 +109,8 @@ 109 109 systemctl reload nginx.service 110 110 ``` 111 111 112 -### Allgemeines Beispiel 111 +## Allgemeines Beispiel 112 + 113 113 ``` 114 114 $ cat /usr/local/cert.d/yourservice 115 115 #!/bin/bash ... ... @@ -124,16 +124,17 @@ 124 124 #systemctl reload mydaemon 125 125 ``` 126 126 127 -# #Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden127 +# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden 128 128 129 129 Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden. 130 130 131 131 _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten. 132 132 133 -## #Vorbereitung bei Nutzung von rbg-cert133 +## Vorbereitung bei Nutzung von rbg-cert 134 134 135 135 Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren. 136 136 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig: 137 + 137 137 ``` 138 138 echo $UQN > /etc/uqn 139 139 apt install strongswan-pki ... ... @@ -154,11 +154,11 @@ 154 154 155 155 Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten! 156 156 157 -## #Enrollment158 +## Enrollment 158 158 159 159 Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden. 160 160 161 -## #API162 +## API 162 162 163 163 Production: 164 164 ... ... @@ -173,17 +173,18 @@ 173 173 174 174 Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen. 175 175 176 -# #Sonderfall manuelle Ausstellung177 +# Sonderfall manuelle Ausstellung 177 177 178 178 Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind: 179 179 180 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private` 181 -2. Certificate Signing Request (`csr`) erzeugen 182 - `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'` 183 -3. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN): 184 - 1. `.csr` hochladen 185 - 2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 186 - 3. alle anderen Felder leer lassen 187 -4. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken. 188 -5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 189 -6. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)" 181 +1. Auf dem Zielserver z.B. nach `/etc/ssl/private` 182 +1. Certificate Signing Request (`csr`) erzeugen 183 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'` 184 + - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"` 185 +1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN): 186 + 1. `.csr` hochladen 187 + 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 188 + 1. alle anderen Felder leer lassen 189 +1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken. 190 +1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 191 +1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"