Changes for page Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30
From version 4.1
edited by Jonas Jelten
on 2023/05/25 12:47
Change comment: There is no comment for this version
To version 6.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:50
Change comment: There is no comment for this version

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -ServerZertifikate
1 +Server-Zertifikate
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.jelten
1 +XWiki.erbesdob
Content
... ... @@ -1,7 +1,5 @@
1 1  {{toc/}}
2 2  
3 -# Server-Zertifikate
4 -
5 5  Es werden verschiedene Fälle unterschieden:
6 6  
7 7  cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
... ... @@ -11,7 +11,7 @@
11 11  * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
12 12  * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
13 13  
14 -## Ubuntu VM
12 +# Ubuntu VM
15 15  
16 16  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
17 17  
... ... @@ -33,12 +33,12 @@
33 33  
34 34  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
35 35  
36 -### Beispiel-Script für server reload
34 +## Beispiel-Script für server reload
37 37  
38 38  Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
39 39  Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
40 40  
41 -### Beispiel für Apache
39 +## Beispiel für Apache
42 42  
43 43  Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
44 44  
... ... @@ -65,7 +65,7 @@
65 65  systemctl reload apache2.service
66 66  ```
67 67  
68 -### Beispiel für nginx
66 +## Beispiel für nginx
69 69  
70 70  ```
71 71  $ cat /etc/nginx/conf.d/ssl.conf
... ... @@ -110,7 +110,7 @@
110 110  systemctl reload nginx.service
111 111  ```
112 112  
113 -### Allgemeines Beispiel
111 +## Allgemeines Beispiel
114 114  
115 115  ```
116 116  $ cat /usr/local/cert.d/yourservice
... ... @@ -126,13 +126,13 @@
126 126  #systemctl reload mydaemon
127 127  ```
128 128  
129 -## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
127 +# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
130 130  
131 131  Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
132 132  
133 133  _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
134 134  
135 -### Vorbereitung bei Nutzung von rbg-cert
133 +## Vorbereitung bei Nutzung von rbg-cert
136 136  
137 137  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
138 138  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
... ... @@ -157,11 +157,11 @@
157 157  
158 158  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
159 159  
160 -### Enrollment
158 +## Enrollment
161 161  
162 162  Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
163 163  
164 -### API
162 +## API
165 165  
166 166  Production:
167 167  
... ... @@ -176,13 +176,14 @@
176 176  
177 177  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
178 178  
179 -## Sonderfall manuelle Ausstellung
177 +# Sonderfall manuelle Ausstellung
180 180  
181 181  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
182 182  
183 183  1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
184 184  1. Certificate Signing Request (`csr`) erzeugen
185 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de' -addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
183 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
184 + - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
186 186  1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
187 187   1. `.csr` hochladen
188 188   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen