Changes for page Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30
From version 5.1
edited by Jonas Jelten
on 2023/05/25 12:47
Change comment: There is no comment for this version
To version 1.3
edited by wikibot
on 2023/02/13 19:51
Change comment: langfix

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.jelten
1 +XWiki.wikibot
Syntax
... ... @@ -1,1 +1,1 @@
1 -Markdown 1.2
1 +XWiki 2.1
Content
... ... @@ -1,55 +1,69 @@
1 +
2 +
1 1  {{toc/}}
2 2  
3 -# Server-Zertifikate
4 4  
5 -Es werden verschiedene Fälle unterschieden:
6 6  
7 -cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
7 += Server-Zertifikate =
8 8  
9 -* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
10 -* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
11 -* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
12 -* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
9 +Es werden verschiedene Fälle unterschieden:
13 13  
14 -## Ubuntu VM
11 + cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Ubuntu_VM"]]
12 +* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]] oder [[rbg-cert selber einrichten>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
13 +* andere Domains: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]]
14 +* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
15 +* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
15 15  
17 +== Ubuntu VM ==
18 +
16 16  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
17 17  
18 -1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
19 -1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
20 -1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
21 -1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
21 +1 In der [[StrukturDB>>https://rbgwebapp.in.tum.de/struktur/]] müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss ##servicehost## auf den tatsächlichen Host (also Server/VM/...) verweisen.
22 + 1 Das Zertifikat wird dann in ##/var/lib/rbg-cert/live/HOST.cert.pem## liegen
23 + 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in ##/usr/local/cert.d/## ab, die mit ##run-parts(8)## kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
24 + 1 Nun kann man mit ##rbg-cert## Zertifikate beantragen:
22 22  
23 -```
24 -# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
26 +
27 +{{html wiki="true"}}
28 +{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
25 25  rbg-cert --show
26 -# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
30 +# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
27 27  rbg-cert --force-request
28 -# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
32 +# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
29 29  rbg-cert
30 -```
34 +{{/code}}
35 +{{/html}}
31 31  
32 -`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
33 33  
38 +
39 +##rbg-cert.service## und ##rbg-cert.timer## **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
40 +
34 34  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
35 35  
36 -### Beispiel-Script für server reload
43 +=== Beispiel-Script für server reload ===
37 37  
38 -Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
39 -Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
45 +Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
46 +Am einfachsten mit Scripten in ##/usr/local/cert.d/...##, die ausführbar sind (##chmod +x##):
40 40  
41 -### Beispiel für Apache
48 +=== Beispiel für Apache ===
42 42  
43 -Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
50 +Im ##VirtualHost## Block in ##/etc/apache2/sites-enabled/MYSERVICE.conf##:
44 44  
45 -```
52 +
53 +{{html wiki="true"}}
54 +{{code}}
46 46  SSLCertificateFile /etc/apache2/tls/fullchain.pem
47 47  SSLCertificateKeyFile /etc/apache2/tls/key.pem
48 -```
57 +{{/code}}
58 +{{/html}}
49 49  
50 -Und der automatische renew-hook (`chmod +x` nicht vergessen!)
51 51  
52 -```
61 +
62 +Und der automatische renew-hook (##chmod +x## nicht vergessen!)
63 +
64 +
65 +{{html wiki="true"}}
66 +{{code}}
53 53  $ cat /usr/local/cert.d/apache2
54 54  #!/bin/bash
55 55  set -o nounset
... ... @@ -63,12 +63,16 @@
63 63  install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
64 64  
65 65  systemctl reload apache2.service
66 -```
80 +{{/code}}
81 +{{/html}}
67 67  
68 -### Beispiel für nginx
69 69  
70 -```
71 -$ cat /etc/nginx/conf.d/ssl.conf
84 +
85 +=== Beispiel für nginx ===
86 +
87 +
88 +{{html wiki="true"}}
89 +{{code}}$ cat /etc/nginx/conf.d/ssl.conf
72 72  # config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
73 73  
74 74  ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
... ... @@ -90,11 +90,16 @@
90 90  
91 91  add_header X-XSS-Protection "1; mode=block";
92 92  add_header X-Content-Type-Options nosniff;
93 -```
111 +{{/code}}
112 +{{/html}}
94 94  
95 -Und der renew-hook (`chmod +x` nicht vergessen!)
96 96  
97 -```
115 +
116 +Und der renew-hook (##chmod +x## nicht vergessen!)
117 +
118 +
119 +{{html wiki="true"}}
120 +{{code}}
98 98  $ cat /usr/local/cert.d/nginx
99 99  #!/bin/bash
100 100  set -o nounset
... ... @@ -108,12 +108,16 @@
108 108  install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
109 109  
110 110  systemctl reload nginx.service
111 -```
134 +{{/code}}
135 +{{/html}}
112 112  
113 -### Allgemeines Beispiel
114 114  
115 -```
116 -$ cat /usr/local/cert.d/yourservice
138 +
139 +=== Allgemeines Beispiel ===
140 +
141 +
142 +{{html wiki="true"}}
143 +{{code}}$ cat /usr/local/cert.d/yourservice
117 117  #!/bin/bash
118 118  set -o nounset
119 119  set -o errexit
... ... @@ -124,21 +124,26 @@
124 124  #install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
125 125  #install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
126 126  #systemctl reload mydaemon
127 -```
154 +{{/code}}
155 +{{/html}}
128 128  
129 -## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
130 130  
158 +
159 +== Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden ==
160 +
131 131  Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
132 132  
133 -_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
163 +//Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren//. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
134 134  
135 -### Vorbereitung bei Nutzung von rbg-cert
165 +=== Vorbereitung bei Nutzung von rbg-cert ===
136 136  
137 -Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
167 +Das Programm ##rbg-cert## verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
138 138  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
139 139  
140 -```
141 -echo $UQN > /etc/uqn
170 +
171 +
172 +{{html wiki="true"}}
173 +{{code}}echo $UQN > /etc/uqn
142 142  apt install strongswan-pki
143 143  apt install python3-cryptography
144 144  
... ... @@ -151,43 +151,52 @@
151 151  
152 152  pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
153 153  # Diesen pubkey dann in der StrukturDB für PIRA registrieren
154 -```
186 +{{/code}}
187 +{{/html}}
155 155  
156 -`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
157 157  
190 +
191 +##rbg-cert## und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
192 +
158 158  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
159 159  
160 -### Enrollment
195 +=== Enrollment ===
161 161  
162 -Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
197 +Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per https://rbgwebapp.in.tum.de/struktur/treeview. Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
163 163  
164 -### API
199 +=== API ===
165 165  
166 166  Production:
167 167  
168 -```
169 -URL: https://pira.in.tum.de/v0/server/[UQN]
170 170  
171 - GET → {cert, chain, fullchain, names, should_renew}
204 +
205 +{{html wiki="true"}}
206 +{{code}}URL: https://pira.in.tum.de/v0/server/[UQN]
207 +
208 + GET &#8594; {cert, chain, fullchain, names, should_renew}
172 172   POST {csr}
173 -```
210 +{{/code}}
211 +{{/html}}
174 174  
213 +
214 +
175 175  Hier sind keine Tests zulässig.
176 176  
177 177  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
178 178  
179 -## Sonderfall manuelle Ausstellung
219 +== Sonderfall manuelle Ausstellung ==
180 180  
181 181  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
182 182  
183 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
184 -1. Certificate Signing Request (`csr`) erzeugen
185 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
186 - - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
187 -1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
188 - 1. `.csr` hochladen
189 - 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
190 - 1. alle anderen Felder leer lassen
191 -1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
192 -1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
193 -1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
223 +1 Auf dem Zielserver z.B. nach ##/etc/ssl/private## wechseln
224 + 1 Certificate Signing Request (##csr##) erzeugen
225 + {{{
226 +openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
227 +}}}
228 + 1 [[Bei der CA>>https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN]]:
229 + 1 ##.csr## hochladen
230 + 1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
231 + 1 alle anderen Felder leer lassen
232 + 1 Bitte den ##commonName## (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
233 + 1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
234 + 1 [[herunterladen>>https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download]] mit ID und "Certificate (w/issuer after)"