Changes for page Server-Zertifikat
Last modified by Jonas Jelten on 2024/08/23 12:30
From version 6.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:50
on 2023/07/06 14:50
Change comment:
There is no comment for this version
To version 10.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:58
on 2023/07/06 14:58
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -2,8 +2,7 @@ 2 2 3 3 Es werden verschiedene Fälle unterschieden: 4 4 5 -cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 6 - 5 +* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] 7 7 * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]] 8 8 * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) 9 9 * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen. ... ... @@ -13,10 +13,10 @@ 13 13 14 14 Für neue VMs ist die erforderliche Software bereits vorinstalliert. 15 15 16 -1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen. 17 -1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen 18 -1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload. 19 -1 Nun kann man mit `rbg-cert` Zertifikate beantragen: 15 +1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen. 16 +1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen 17 +1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload. 18 +1. Nun kann man mit `rbg-cert` Zertifikate beantragen: 20 20 21 21 ``` 22 22 # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen! ... ... @@ -40,10 +40,8 @@ 40 40 41 41 Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`: 42 42 43 -``` 44 -SSLCertificateFile /etc/apache2/tls/fullchain.pem 45 -SSLCertificateKeyFile /etc/apache2/tls/key.pem 46 -``` 42 + SSLCertificateFile /etc/apache2/tls/fullchain.pem 43 + SSLCertificateKeyFile /etc/apache2/tls/key.pem 47 47 48 48 Und der automatische renew-hook (`chmod +x` nicht vergessen!) 49 49 ... ... @@ -148,7 +148,7 @@ 148 148 # Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem 149 149 150 150 pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem 151 -# Diesen pubkey dann in der StrukturDB f ür PIRA registrieren148 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren 152 152 ``` 153 153 154 154 `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren. ... ... @@ -163,13 +163,11 @@ 163 163 164 164 Production: 165 165 166 -``` 167 -URL: https://pira.in.tum.de/v0/server/[UQN] 163 + URL: https://pira.in.tum.de/v0/server/[UQN] 164 + 165 + GET → {cert, chain, fullchain, names, should_renew} 166 + POST {csr} 168 168 169 - GET → {cert, chain, fullchain, names, should_renew} 170 - POST {csr} 171 -``` 172 - 173 173 Hier sind keine Tests zulässig. 174 174 175 175 Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen. ... ... @@ -181,11 +181,14 @@ 181 181 1. Auf dem Zielserver z.B. nach `/etc/ssl/private` 182 182 1. Certificate Signing Request (`csr`) erzeugen 183 183 `openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'` 184 - - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"` 179 + 180 +* weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"` 181 + 185 185 1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN): 186 - 1. `.csr` hochladen 187 - 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 188 - 1. alle anderen Felder leer lassen 183 +1. `.csr` hochladen 184 + * sadfasdfsadf 185 +1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen 186 +1. alle anderen Felder leer lassen 189 189 1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken. 190 190 1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen 191 191 1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"