Changes for page Server-Zertifikat

Last modified by Leo Fahrbach on 2025/06/18 12:29

From 5.1 to 6.1

From version 6.1

edited by Thomas Walter Erbesdobler
on 2023/07/06 14:50

Change comment: There is no comment for this version

To version 19.1

edited by Leo Fahrbach
on 2025/06/18 12:29

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (4 modified, 0 added, 0 removed)

Details

Page properties

Title

@@ -1,1 +1,1 @@
--Server-Zertifikate
++Server-Zertifikat

Parent

...	...	@@ -1,0 +1,1 @@
	1	+CIT.ITO.Docs.Services.Certificates.WebHome

Author

@@ -1,1 +1,1 @@
--XWiki.erbesdob
++XWiki.fahrbach

Content

@@ -2,11 +2,10 @@
  Es werden verschiedene Fälle unterschieden:
--cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
--
++* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
  * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
  * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
--* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
++* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="HSonderfallmanuelleAusstellung"]] erfolgen.
  * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
  # Ubuntu VM
@@ -13,10 +13,10 @@
  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
--1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
--1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
--1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
--1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
++1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
++1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
++1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
++1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
  ```
  # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
@@ -40,10 +40,8 @@
  Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
--```
--SSLCertificateFile /etc/apache2/tls/fullchain.pem
--SSLCertificateKeyFile /etc/apache2/tls/key.pem
--```
++    SSLCertificateFile /etc/apache2/tls/fullchain.pem
++    SSLCertificateKeyFile /etc/apache2/tls/key.pem
  Und der automatische renew-hook (`chmod +x` nicht vergessen!)
@@ -136,6 +136,7 @@
  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
  ```
++UQN=host:f:YOURHOSTNAME.cit.tum.de
  echo $UQN > /etc/uqn
  apt install strongswan-pki
  apt install python3-cryptography
@@ -144,32 +144,37 @@
  mkdir -pm700 /var/lib/rbg-cert/live/   # certs will be here
  cd /var/lib/rbg-cert/live/
--pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
--# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
++openssl genpkey -algorithm x25519 -out $UQN.privkey.pem
++# Falls RSA benötigt wird: openssl genrsa -out $UQN.privkey.pem 4096
--pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
--# Diesen pubkey dann in der StrukturDB f&#252;r PIRA registrieren
++openssl pkey -in $UQN.privkey.pem -pubout
++# für RSA: openssl rsa -in $UQN.privkey.pem -pubout
++# Diesen pubkey dann in der StrukturDB für PIRA registrieren
  ```
  `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
++```
++scp VMNAME:/usr/local/bin/rbg-cert /usr/local/bin/rbg-cert
++scp VMNAME:/etc/systemd/system/rbg-cert.service /etc/systemd/system/rbg-cert.service
++scp VMNAME:/etc/systemd/system/rbg-cert.timer /etc/systemd/system/rbg-cert.timer
++systemctl enable rbg-cert.timer
++```
  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
  ## Enrollment
--Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
++Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per [https://struktur.ito.cit.tum.de/struktur/](https://struktur.ito.cit.tum.de/struktur/).
  ## API
  Production:
--```
--URL: https://pira.in.tum.de/v0/server/[UQN]
++    URL: https://pira.in.tum.de/v0/server/[UQN]
++
++      GET → {cert, chain, fullchain, names, should_renew}
++      POST {csr}
--  GET → {cert, chain, fullchain, names, should_renew}
--  POST {csr}
--```
--
  Hier sind keine Tests zulässig.
  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
@@ -180,12 +180,13 @@
 . Auf dem Zielserver z.B. nach `/etc/ssl/private`
 . Certificate Signing Request (`csr`) erzeugen
--`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
--    - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
++`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
++Weitere namen in csr packen:
++`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
 . [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
 . `.csr` hochladen
 . unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
 . alle anderen Felder leer lassen
--1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
++1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
 . auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
 . [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Changes for page Server-Zertifikat

Summary

Details

Navigation