Wiki source code of ServerZertifikate

Version 1.3 by wikibot on 2023/02/13 19:51
Show last authors
1
2
3 {{toc/}}
4
5
6
7 = Server-Zertifikate =
8
9 Es werden verschiedene Fälle unterschieden:
10
11 cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Ubuntu_VM"]]
12 * cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]] oder [[rbg-cert selber einrichten>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
13 * andere Domains: eigenständig mit [[Let's Encrypt>>https://certbot.eff.org/instructions]]
14 * Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
15 * Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen>>Informatik.Benutzerwiki.ServerZertifikate||anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
16
17 == Ubuntu VM ==
18
19 Für neue VMs ist die erforderliche Software bereits vorinstalliert.
20
21 1 In der [[StrukturDB>>https://rbgwebapp.in.tum.de/struktur/]] müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss ##servicehost## auf den tatsächlichen Host (also Server/VM/...) verweisen.
22 1 Das Zertifikat wird dann in ##/var/lib/rbg-cert/live/HOST.cert.pem## liegen
23 1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in ##/usr/local/cert.d/## ab, die mit ##run-parts(8)## kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
24 1 Nun kann man mit ##rbg-cert## Zertifikate beantragen:
25
26
27 {{html wiki="true"}}
28 {{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
29 rbg-cert --show
30 # Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
31 rbg-cert --force-request
32 # Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
33 rbg-cert
34 {{/code}}
35 {{/html}}
36
37
38
39 ##rbg-cert.service## und ##rbg-cert.timer## **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.
40
41 Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
42
43 === Beispiel-Script für server reload ===
44
45 Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
46 Am einfachsten mit Scripten in ##/usr/local/cert.d/...##, die ausführbar sind (##chmod +x##):
47
48 === Beispiel für Apache ===
49
50 Im ##VirtualHost## Block in ##/etc/apache2/sites-enabled/MYSERVICE.conf##:
51
52
53 {{html wiki="true"}}
54 {{code}}
55 SSLCertificateFile /etc/apache2/tls/fullchain.pem
56 SSLCertificateKeyFile /etc/apache2/tls/key.pem
57 {{/code}}
58 {{/html}}
59
60
61
62 Und der automatische renew-hook (##chmod +x## nicht vergessen!)
63
64
65 {{html wiki="true"}}
66 {{code}}
67 $ cat /usr/local/cert.d/apache2
68 #!/bin/bash
69 set -o nounset
70 set -o errexit
71
72 [ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
73
74 install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
75 #install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
76 #install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
77 install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
78
79 systemctl reload apache2.service
80 {{/code}}
81 {{/html}}
82
83
84
85 === Beispiel für nginx ===
86
87
88 {{html wiki="true"}}
89 {{code}}$ cat /etc/nginx/conf.d/ssl.conf
90 # config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
91
92 ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
93 ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
94 ssl_session_timeout 1d;
95 ssl_session_cache shared:SSL:50m;
96 ssl_session_tickets off;
97
98 # intermediate configuration
99 ssl_protocols TLSv1.2 TLSv1.3;
100 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
101 #ssl_prefer_server_ciphers off;
102
103 # HSTS (ngx_http_headers_module is required) (63072000 seconds)
104 add_header Strict-Transport-Security "max-age=63072000" always;
105
106 # verify chain of trust of OCSP response using Root CA and Intermediate certs
107 ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
108
109 add_header X-XSS-Protection "1; mode=block";
110 add_header X-Content-Type-Options nosniff;
111 {{/code}}
112 {{/html}}
113
114
115
116 Und der renew-hook (##chmod +x## nicht vergessen!)
117
118
119 {{html wiki="true"}}
120 {{code}}
121 $ cat /usr/local/cert.d/nginx
122 #!/bin/bash
123 set -o nounset
124 set -o errexit
125
126 [ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
127
128 install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
129 #install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
130 install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
131 install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
132
133 systemctl reload nginx.service
134 {{/code}}
135 {{/html}}
136
137
138
139 === Allgemeines Beispiel ===
140
141
142 {{html wiki="true"}}
143 {{code}}$ cat /usr/local/cert.d/yourservice
144 #!/bin/bash
145 set -o nounset
146 set -o errexit
147
148 # of course, the paths may vary on your setup!
149 #install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
150 #install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
151 #install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
152 #install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
153 #systemctl reload mydaemon
154 {{/code}}
155 {{/html}}
156
157
158
159 == Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden ==
160
161 Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
162
163 //Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren//. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
164
165 === Vorbereitung bei Nutzung von rbg-cert ===
166
167 Das Programm ##rbg-cert## verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
168 Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
169
170
171
172 {{html wiki="true"}}
173 {{code}}echo $UQN > /etc/uqn
174 apt install strongswan-pki
175 apt install python3-cryptography
176
177 mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
178 mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
179 cd /var/lib/rbg-cert/live/
180
181 pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
182 # Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
183
184 pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
185 # Diesen pubkey dann in der StrukturDB für PIRA registrieren
186 {{/code}}
187 {{/html}}
188
189
190
191 ##rbg-cert## und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
192
193 Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
194
195 === Enrollment ===
196
197 Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per https://rbgwebapp.in.tum.de/struktur/treeview. Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
198
199 === API ===
200
201 Production:
202
203
204
205 {{html wiki="true"}}
206 {{code}}URL: https://pira.in.tum.de/v0/server/[UQN]
207
208 GET → {cert, chain, fullchain, names, should_renew}
209 POST {csr}
210 {{/code}}
211 {{/html}}
212
213
214
215 Hier sind keine Tests zulässig.
216
217 Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
218
219 == Sonderfall manuelle Ausstellung ==
220
221 Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
222
223 1 Auf dem Zielserver z.B. nach ##/etc/ssl/private## wechseln
224 1 Certificate Signing Request (##csr##) erzeugen
225 {{{
226 openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
227 }}}
228 1 [[Bei der CA>>https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN]]:
229 1 ##.csr## hochladen
230 1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
231 1 alle anderen Felder leer lassen
232 1 Bitte den ##commonName## (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
233 1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
234 1 [[herunterladen>>https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download]] mit ID und "Certificate (w/issuer after)"