Changes for page Server-Zertifikat

Last modified by Jonas Jelten on 2024/08/23 12:30
From version 9.1
edited by Thomas Walter Erbesdobler
on 2023/07/06 14:57
Change comment: There is no comment for this version
To version 4.1
edited by Jonas Jelten
on 2023/05/25 12:47
Change comment: There is no comment for this version

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -Server-Zertifikate
1 +ServerZertifikate
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.erbesdob
1 +XWiki.jelten
Content
... ... @@ -1,21 +1,24 @@
1 1  {{toc/}}
2 2  
3 +# Server-Zertifikate
4 +
3 3  Es werden verschiedene Fälle unterschieden:
4 4  
5 - * cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
6 - * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
7 - * andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
8 - * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
9 - * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
7 +cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]
10 10  
11 -# Ubuntu VM
9 +* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
10 +* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
11 +* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
12 +* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
12 12  
14 +## Ubuntu VM
15 +
13 13  Für neue VMs ist die erforderliche Software bereits vorinstalliert.
14 14  
15 - 1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
16 - 1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
17 - 1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
18 - 1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
18 +1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
19 +1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
20 +1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
21 +1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
19 19  
20 20  ```
21 21  # Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
... ... @@ -30,16 +30,16 @@
30 30  
31 31  Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
32 32  
33 -## Beispiel-Script für server reload
36 +### Beispiel-Script für server reload
34 34  
35 35  Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
36 36  Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
37 37  
38 -## Beispiel für Apache
41 +### Beispiel für Apache
39 39  
40 40  Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
41 41  
42 -```none
45 +```
43 43  SSLCertificateFile /etc/apache2/tls/fullchain.pem
44 44  SSLCertificateKeyFile /etc/apache2/tls/key.pem
45 45  ```
... ... @@ -62,7 +62,7 @@
62 62  systemctl reload apache2.service
63 63  ```
64 64  
65 -## Beispiel für nginx
68 +### Beispiel für nginx
66 66  
67 67  ```
68 68  $ cat /etc/nginx/conf.d/ssl.conf
... ... @@ -107,7 +107,7 @@
107 107  systemctl reload nginx.service
108 108  ```
109 109  
110 -## Allgemeines Beispiel
113 +### Allgemeines Beispiel
111 111  
112 112  ```
113 113  $ cat /usr/local/cert.d/yourservice
... ... @@ -123,13 +123,13 @@
123 123  #systemctl reload mydaemon
124 124  ```
125 125  
126 -# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
129 +## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
127 127  
128 128  Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
129 129  
130 130  _Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
131 131  
132 -## Vorbereitung bei Nutzung von rbg-cert
135 +### Vorbereitung bei Nutzung von rbg-cert
133 133  
134 134  Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
135 135  Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
... ... @@ -147,7 +147,7 @@
147 147  # Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
148 148  
149 149  pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
150 -# Diesen pubkey dann in der StrukturDB für PIRA registrieren
153 +# Diesen pubkey dann in der StrukturDB für PIRA registrieren
151 151  ```
152 152  
153 153  `rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
... ... @@ -154,15 +154,15 @@
154 154  
155 155  Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
156 156  
157 -## Enrollment
160 +### Enrollment
158 158  
159 159  Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
160 160  
161 -## API
164 +### API
162 162  
163 163  Production:
164 164  
165 -```none
168 +```
166 166  URL: https://pira.in.tum.de/v0/server/[UQN]
167 167  
168 168   GET → {cert, chain, fullchain, names, should_renew}
... ... @@ -173,18 +173,17 @@
173 173  
174 174  Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
175 175  
176 -# Sonderfall manuelle Ausstellung
179 +## Sonderfall manuelle Ausstellung
177 177  
178 178  Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
179 179  
180 - 1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
181 - 1. Certificate Signing Request (`csr`) erzeugen
182 -`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
183 - - weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
184 - 1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
183 +1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
184 +1. Certificate Signing Request (`csr`) erzeugen
185 +`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de' -addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
186 +1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
185 185   1. `.csr` hochladen
186 186   1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
187 187   1. alle anderen Felder leer lassen
188 - 1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
189 - 1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
190 - 1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"
190 +1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
191 +1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
192 +1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"