Änderungen von Dokument Server-Zertifikat
Zuletzt geändert von Jonas Jelten am 2024/08/23 12:30
Von Version 5.1
bearbeitet von Jonas Jelten
am 2023/05/25 12:47
am 2023/05/25 12:47
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 6.1
bearbeitet von Thomas Walter Erbesdobler
am 2023/07/06 14:50
am 2023/07/06 14:50
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Titel
-
... ... @@ -1,1 +1,1 @@ 1 -ServerZertifikate 1 +Server-Zertifikate - Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. jelten1 +XWiki.erbesdob - Inhalt
-
... ... @@ -1,7 +1,5 @@ 1 1 {{toc/}} 2 2 3 -# Server-Zertifikate 4 - 5 5 Es werden verschiedene Fälle unterschieden: 6 6 7 7 cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] ... ... @@ -11,7 +11,7 @@ 11 11 * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen. 12 12 * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]] 13 13 14 -# #Ubuntu VM12 +# Ubuntu VM 15 15 16 16 Für neue VMs ist die erforderliche Software bereits vorinstalliert. 17 17 ... ... @@ -33,12 +33,12 @@ 33 33 34 34 Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren. 35 35 36 -## #Beispiel-Script für server reload34 +## Beispiel-Script für server reload 37 37 38 38 Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen. 39 39 Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`): 40 40 41 -## #Beispiel für Apache39 +## Beispiel für Apache 42 42 43 43 Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`: 44 44 ... ... @@ -65,7 +65,7 @@ 65 65 systemctl reload apache2.service 66 66 ``` 67 67 68 -## #Beispiel für nginx66 +## Beispiel für nginx 69 69 70 70 ``` 71 71 $ cat /etc/nginx/conf.d/ssl.conf ... ... @@ -110,7 +110,7 @@ 110 110 systemctl reload nginx.service 111 111 ``` 112 112 113 -## #Allgemeines Beispiel111 +## Allgemeines Beispiel 114 114 115 115 ``` 116 116 $ cat /usr/local/cert.d/yourservice ... ... @@ -126,13 +126,13 @@ 126 126 #systemctl reload mydaemon 127 127 ``` 128 128 129 -# #Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden127 +# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden 130 130 131 131 Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden. 132 132 133 133 _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten. 134 134 135 -## #Vorbereitung bei Nutzung von rbg-cert133 +## Vorbereitung bei Nutzung von rbg-cert 136 136 137 137 Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren. 138 138 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig: ... ... @@ -157,11 +157,11 @@ 157 157 158 158 Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten! 159 159 160 -## #Enrollment158 +## Enrollment 161 161 162 162 Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden. 163 163 164 -## #API162 +## API 165 165 166 166 Production: 167 167 ... ... @@ -176,7 +176,7 @@ 176 176 177 177 Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen. 178 178 179 -# #Sonderfall manuelle Ausstellung177 +# Sonderfall manuelle Ausstellung 180 180 181 181 Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind: 182 182