Änderungen von Dokument Server-Zertifikat
Zuletzt geändert von Jonas Jelten am 2024/08/23 12:30
Von Version 4.1
bearbeitet von Jonas Jelten
am 2023/05/25 12:47
am 2023/05/25 12:47
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 3.1
bearbeitet von Leo Fahrbach
am 2023/05/19 14:59
am 2023/05/19 14:59
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. jelten1 +XWiki.fahrbach - Inhalt
-
... ... @@ -4,7 +4,7 @@ 4 4 5 5 Es werden verschiedene Fälle unterschieden: 6 6 7 -cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 7 + cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 8 8 9 9 * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]] 10 10 * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) ... ... @@ -16,9 +16,9 @@ 16 16 Für neue VMs ist die erforderliche Software bereits vorinstalliert. 17 17 18 18 1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen. 19 -1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen 20 -1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload. 21 -1 Nun kann man mit `rbg-cert` Zertifikate beantragen: 19 + 1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen 20 + 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload. 21 + 1 Nun kann man mit `rbg-cert` Zertifikate beantragen: 22 22 23 23 ``` 24 24 # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen! ... ... @@ -28,7 +28,6 @@ 28 28 # Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft): 29 29 rbg-cert 30 30 ``` 31 - 32 32 `rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf. 33 33 34 34 Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren. ... ... @@ -111,7 +111,6 @@ 111 111 ``` 112 112 113 113 ### Allgemeines Beispiel 114 - 115 115 ``` 116 116 $ cat /usr/local/cert.d/yourservice 117 117 #!/bin/bash ... ... @@ -136,7 +136,6 @@ 136 136 137 137 Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren. 138 138 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig: 139 - 140 140 ``` 141 141 echo $UQN > /etc/uqn 142 142 apt install strongswan-pki ... ... @@ -180,13 +180,13 @@ 180 180 181 181 Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind: 182 182 183 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private` 184 - 1. Certificate Signing Request (`csr`) erzeugen185 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de' -addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`186 - 1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):187 - 188 - 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen189 - 1. alle anderen Felder leer lassen190 - 1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an<rbg@in.tum.de>schicken.191 - 1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen192 - 1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"180 +1. Auf dem Zielserver z.B. nach `/etc/ssl/private` 181 +2. Certificate Signing Request (`csr`) erzeugen 182 + `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'` 183 +3. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN): 184 + 1. `.csr` hochladen 185 + 2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 186 + 3. alle anderen Felder leer lassen 187 +4. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken. 188 +5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 189 +6. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"