Changes for page Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30
From version 7.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:54
Change comment: There is no comment for this version
To version 15.1
edited by Jonas Jelten
on 2023/12/07 17:44
Change comment: There is no comment for this version

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.erbesdob
1 +XWiki.jelten
Content
... ... @@ -2,20 +2,20 @@
2 2  
3 3  Es werden verschiedene Fälle unterschieden:
4 4  
5 - * cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 - * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 - * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 - * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
9 - * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
5 +* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 +* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 +* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 +* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
9 +* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
10 10  
11 11  # Ubuntu VM
12 12  
13 13  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
14 14  
15 - 1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
16 - 1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
17 - 1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
18 - 1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
15 +1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
16 +1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
17 +1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
18 +1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
19 19  
20 20  ```
21 21  # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
... ... @@ -39,10 +39,8 @@
39 39  
40 40  Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
41 41  
42 -```
43 -SSLCertificateFile /etc/apache2/tls/fullchain.pem
44 -SSLCertificateKeyFile /etc/apache2/tls/key.pem
45 -```
42 + SSLCertificateFile /etc/apache2/tls/fullchain.pem
43 + SSLCertificateKeyFile /etc/apache2/tls/key.pem
46 46  
47 47  Und der automatische renew-hook (`chmod +x` nicht vergessen!)
48 48  
... ... @@ -147,7 +147,7 @@
147 147  # Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
148 148  
149 149  pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
150 -# Diesen pubkey dann in der StrukturDB für PIRA registrieren
148 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren
151 151  ```
152 152  
153 153  `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
... ... @@ -162,13 +162,11 @@
162 162  
163 163  Production:
164 164  
165 -```
166 -URL: https://pira.in.tum.de/v0/server/[UQN]
163 + URL: https://pira.in.tum.de/v0/server/[UQN]
164 +
165 + GET → {cert, chain, fullchain, names, should_renew}
166 + POST {csr}
167 167  
168 - GET → {cert, chain, fullchain, names, should_renew}
169 - POST {csr}
170 -```
171 -
172 172  Hier sind keine Tests zulässig.
173 173  
174 174  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
... ... @@ -177,14 +177,15 @@
177 177  
178 178  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
179 179  
180 - 1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
181 - 1. Certificate Signing Request (`csr`) erzeugen
182 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
183 - - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
184 - 1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
176 +1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
177 +1. Certificate Signing Request (`csr`) erzeugen
178 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
179 +Weitere namen in csr packen:
180 +`-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
181 +1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
185 185   1. `.csr` hochladen
186 186   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
187 187   1. alle anderen Felder leer lassen
188 - 1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
189 - 1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
190 - 1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
185 +1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) schicken.
186 +1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
187 +1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"