Änderungen von Dokument Server-Zertifikat
Zuletzt geändert von Jonas Jelten am 2024/08/23 12:30
Von Version 6.1
bearbeitet von Thomas Walter Erbesdobler
am 2023/07/06 14:50
am 2023/07/06 14:50
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 5.1
bearbeitet von Jonas Jelten
am 2023/05/25 12:47
am 2023/05/25 12:47
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Titel
-
... ... @@ -1,1 +1,1 @@ 1 -Server -Zertifikate1 +ServerZertifikate - Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki.e rbesdob1 +XWiki.jelten - Inhalt
-
... ... @@ -1,5 +1,7 @@ 1 1 {{toc/}} 2 2 3 +# Server-Zertifikate 4 + 3 3 Es werden verschiedene Fälle unterschieden: 4 4 5 5 cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]] ... ... @@ -9,7 +9,7 @@ 9 9 * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen. 10 10 * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]] 11 11 12 -# Ubuntu VM 14 +## Ubuntu VM 13 13 14 14 Für neue VMs ist die erforderliche Software bereits vorinstalliert. 15 15 ... ... @@ -31,12 +31,12 @@ 31 31 32 32 Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren. 33 33 34 -## Beispiel-Script für server reload 36 +### Beispiel-Script für server reload 35 35 36 36 Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen. 37 37 Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`): 38 38 39 -## Beispiel für Apache 41 +### Beispiel für Apache 40 40 41 41 Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`: 42 42 ... ... @@ -63,7 +63,7 @@ 63 63 systemctl reload apache2.service 64 64 ``` 65 65 66 -## Beispiel für nginx 68 +### Beispiel für nginx 67 67 68 68 ``` 69 69 $ cat /etc/nginx/conf.d/ssl.conf ... ... @@ -108,7 +108,7 @@ 108 108 systemctl reload nginx.service 109 109 ``` 110 110 111 -## Allgemeines Beispiel 113 +### Allgemeines Beispiel 112 112 113 113 ``` 114 114 $ cat /usr/local/cert.d/yourservice ... ... @@ -124,13 +124,13 @@ 124 124 #systemctl reload mydaemon 125 125 ``` 126 126 127 -# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden 129 +## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden 128 128 129 129 Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden. 130 130 131 131 _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten. 132 132 133 -## Vorbereitung bei Nutzung von rbg-cert 135 +### Vorbereitung bei Nutzung von rbg-cert 134 134 135 135 Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren. 136 136 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig: ... ... @@ -155,11 +155,11 @@ 155 155 156 156 Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten! 157 157 158 -## Enrollment 160 +### Enrollment 159 159 160 160 Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden. 161 161 162 -## API 164 +### API 163 163 164 164 Production: 165 165 ... ... @@ -174,7 +174,7 @@ 174 174 175 175 Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen. 176 176 177 -# Sonderfall manuelle Ausstellung 179 +## Sonderfall manuelle Ausstellung 178 178 179 179 Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind: 180 180