Changes for page Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30

From version 6.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:50
Change comment: There is no comment for this version
To version 2.1
edited by Leo Fahrbach
on 2023/05/19 14:46
Change comment: There is no comment for this version

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -Server-Zertifikate
1 +ServerZertifikate
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.erbesdob
1 +XWiki.fahrbach
Content
... ... @@ -1,8 +1,10 @@
1 1  {{toc/}}
2 2  
3 +# Server-Zertifikate
4 +
3 3  Es werden verschiedene Fälle unterschieden:
4 4  
5 -cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
7 + cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 6  
7 7  * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
8 8  * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
... ... @@ -9,45 +9,49 @@
9 9  * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
10 10  * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
11 11  
12 -# Ubuntu VM
14 +## Ubuntu VM
13 13  
14 14  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
15 15  
16 16  1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
17 -1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
18 -1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
19 -1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
19 + 1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
20 + 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
21 + 1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
20 20  
21 -```
22 -# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
23 +{{html wiki="true"}}
24 +{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
23 23  rbg-cert --show
24 -# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
26 +# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
25 25  rbg-cert --force-request
26 -# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
28 +# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
27 27  rbg-cert
28 -```
30 +{{/code}}
31 +{{/html}}
29 29  
30 30  `rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
31 31  
32 32  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
33 33  
34 -## Beispiel-Script für server reload
37 +### Beispiel-Script für server reload
35 35  
36 36  Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
37 37  Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
38 38  
39 -## Beispiel für Apache
42 +### Beispiel für Apache
40 40  
41 41  Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
42 42  
43 -```
46 +{{html wiki="true"}}
47 +{{code}}
44 44  SSLCertificateFile /etc/apache2/tls/fullchain.pem
45 45  SSLCertificateKeyFile /etc/apache2/tls/key.pem
46 -```
50 +{{/code}}
51 +{{/html}}
47 47  
48 48  Und der automatische renew-hook (`chmod +x` nicht vergessen!)
49 49  
50 -```
55 +{{html wiki="true"}}
56 +{{code}}
51 51  $ cat /usr/local/cert.d/apache2
52 52  #!/bin/bash
53 53  set -o nounset
... ... @@ -61,12 +61,13 @@
61 61  install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
62 62  
63 63  systemctl reload apache2.service
64 -```
70 +{{/code}}
71 +{{/html}}
65 65  
66 -## Beispiel für nginx
73 +### Beispiel für nginx
67 67  
68 -```
69 -$ cat /etc/nginx/conf.d/ssl.conf
75 +{{html wiki="true"}}
76 +{{code}}$ cat /etc/nginx/conf.d/ssl.conf
70 70  # config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
71 71  
72 72  ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
... ... @@ -88,11 +88,13 @@
88 88  
89 89  add_header X-XSS-Protection "1; mode=block";
90 90  add_header X-Content-Type-Options nosniff;
91 -```
98 +{{/code}}
99 +{{/html}}
92 92  
93 93  Und der renew-hook (`chmod +x` nicht vergessen!)
94 94  
95 -```
103 +{{html wiki="true"}}
104 +{{code}}
96 96  $ cat /usr/local/cert.d/nginx
97 97  #!/bin/bash
98 98  set -o nounset
... ... @@ -106,12 +106,13 @@
106 106  install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
107 107  
108 108  systemctl reload nginx.service
109 -```
118 +{{/code}}
119 +{{/html}}
110 110  
111 -## Allgemeines Beispiel
121 +### Allgemeines Beispiel
112 112  
113 -```
114 -$ cat /usr/local/cert.d/yourservice
123 +{{html wiki="true"}}
124 +{{code}}$ cat /usr/local/cert.d/yourservice
115 115  #!/bin/bash
116 116  set -o nounset
117 117  set -o errexit
... ... @@ -122,21 +122,22 @@
122 122  #install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
123 123  #install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
124 124  #systemctl reload mydaemon
125 -```
135 +{{/code}}
136 +{{/html}}
126 126  
127 -# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
138 +## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
128 128  
129 129  Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
130 130  
131 131  _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
132 132  
133 -## Vorbereitung bei Nutzung von rbg-cert
144 +### Vorbereitung bei Nutzung von rbg-cert
134 134  
135 135  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
136 136  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
137 137  
138 -```
139 -echo $UQN > /etc/uqn
149 +{{html wiki="true"}}
150 +{{code}}echo $UQN > /etc/uqn
140 140  apt install strongswan-pki
141 141  apt install python3-cryptography
142 142  
... ... @@ -149,43 +149,44 @@
149 149  
150 150  pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
151 151  # Diesen pubkey dann in der StrukturDB für PIRA registrieren
152 -```
163 +{{/code}}
164 +{{/html}}
153 153  
154 154  `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
155 155  
156 156  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
157 157  
158 -## Enrollment
170 +### Enrollment
159 159  
160 160  Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
161 161  
162 -## API
174 +### API
163 163  
164 164  Production:
165 165  
166 -```
167 -URL: https://pira.in.tum.de/v0/server/[UQN]
178 +{{html wiki="true"}}
179 +{{code}}URL: https://pira.in.tum.de/v0/server/[UQN]
168 168  
169 - GET {cert, chain, fullchain, names, should_renew}
181 + GET &#8594; {cert, chain, fullchain, names, should_renew}
170 170   POST {csr}
171 -```
183 +{{/code}}
184 +{{/html}}
172 172  
173 173  Hier sind keine Tests zulässig.
174 174  
175 175  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
176 176  
177 -# Sonderfall manuelle Ausstellung
190 +## Sonderfall manuelle Ausstellung
178 178  
179 179  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
180 180  
181 -1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
182 -1. Certificate Signing Request (`csr`) erzeugen
183 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
184 - - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
185 -1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
186 - 1. `.csr` hochladen
187 - 1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
188 - 1. alle anderen Felder leer lassen
189 -1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
190 -1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
191 -1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
194 +1 Auf dem Zielserver z.B. nach `/etc/ssl/private` wechseln
195 + 1 Certificate Signing Request (`csr`) erzeugen
196 +
197 + 1 [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
198 + 1 `.csr` hochladen
199 + 1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
200 + 1 alle anderen Felder leer lassen
201 + 1 Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
202 + 1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
203 + 1 [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"