Server-Zertifikate

Es werden verschiedene Fälle unterschieden:

* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

6

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

7

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

8

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.

9

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

# Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

14

15

1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

16

1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

17

1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

18

1. Nun kann man mit `rbg-cert` Zertifikate beantragen:

19

20

```

21

# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

22

rbg-cert --show

23

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

24

rbg-cert --force-request

25

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

rbg-cert

```

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

30

31

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

32

33

## Beispiel-Script für server reload

34

35

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

36

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

37

38

## Beispiel für Apache

39

40

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

41

42

SSLCertificateFile /etc/apache2/tls/fullchain.pem

43

SSLCertificateKeyFile /etc/apache2/tls/key.pem

44

45

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

46

47

```

48

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

54

55

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

56

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

57

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

58

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

59

60

systemctl reload apache2.service

61

```

62

63

## Beispiel für nginx

64

65

```

66

$ cat /etc/nginx/conf.d/ssl.conf

67

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

68

69

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

70

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

71

ssl_session_timeout 1d;

72

ssl_session_cache shared:SSL:50m;

73

ssl_session_tickets off;

74

75

# intermediate configuration

76

ssl_protocols TLSv1.2 TLSv1.3;

77

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

78

#ssl_prefer_server_ciphers off;

79

80

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

81

add_header Strict-Transport-Security "max-age=63072000" always;

82

83

# verify chain of trust of OCSP response using Root CA and Intermediate certs

84

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

85

86

add_header X-XSS-Protection "1; mode=block";

87

add_header X-Content-Type-Options nosniff;

88

```

89

90

Und der renew-hook (`chmod +x` nicht vergessen!)

91

92

```

93

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

99

100

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

101

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

102

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

103

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

104

105

systemctl reload nginx.service

106

```

107

108

## Allgemeines Beispiel

109

110

```

111

$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

117

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

118

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

119

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

120

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

121

#systemctl reload mydaemon

122

```

123

124

# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

125

126

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

127

128

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

129

130

## Vorbereitung bei Nutzung von rbg-cert

131

132

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

133

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

```

echo $UQN > /etc/uqn

apt install strongswan-pki

138

apt install python3-cryptography

139

140

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

141

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

142

cd /var/lib/rbg-cert/live/

143

144

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem

145

# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

146

147

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem

148

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

149

```

150

151

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

152

153

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

## Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

## API

Production:

URL: https://pira.in.tum.de/v0/server/[UQN]

164

165

GET → {cert, chain, fullchain, names, should_renew}

166

POST {csr}

167

168

Hier sind keine Tests zulässig.

169

170

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

171

172

# Sonderfall manuelle Ausstellung

173

174

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

175

176

1. Auf dem Zielserver z.B. nach `/etc/ssl/private`

177

1. Certificate Signing Request (`csr`) erzeugen

178

179

```none

180

openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'

181

```

182

* weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`

183

184

1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

185

1. `.csr` hochladen

186

1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

187

1. alle anderen Felder leer lassen

188

1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.

189

1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

190

1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki source code of Server-Zertifikate

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	Es werden verschiedene Fälle unterschieden:
		4
		5	* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		6	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		7	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		8	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
		9	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		10
		11	# Ubuntu VM
		12
		13	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		14
		15	1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		16	1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		17	1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		18	1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
		19
		20	```
		21	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		22	rbg-cert --show
		23	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		24	rbg-cert --force-request
		25	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		26	rbg-cert
		27	```
		28
		29	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		30
		31	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		32
		33	## Beispiel-Script für server reload
		34
		35	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		36	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		37
		38	## Beispiel für Apache
		39
		40	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		41
		42	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		43	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		44
		45	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		46
		47	```
		48	$ cat /usr/local/cert.d/apache2
		49	#!/bin/bash
		50	set -o nounset
		51	set -o errexit
		52
		53	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		54
		55	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		56	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		57	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		58	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		59
		60	systemctl reload apache2.service
		61	```
		62
		63	## Beispiel für nginx
		64
		65	```
		66	$ cat /etc/nginx/conf.d/ssl.conf
		67	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		68
		69	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		70	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		71	ssl_session_timeout 1d;
		72	ssl_session_cache shared:SSL:50m;
		73	ssl_session_tickets off;
		74
		75	# intermediate configuration
		76	ssl_protocols TLSv1.2 TLSv1.3;
		77	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		78	#ssl_prefer_server_ciphers off;
		79
		80	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		81	add_header Strict-Transport-Security "max-age=63072000" always;
		82
		83	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		84	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		85
		86	add_header X-XSS-Protection "1; mode=block";
		87	add_header X-Content-Type-Options nosniff;
		88	```
		89
		90	Und der renew-hook (`chmod +x` nicht vergessen!)
		91
		92	```
		93	$ cat /usr/local/cert.d/nginx
		94	#!/bin/bash
		95	set -o nounset
		96	set -o errexit
		97
		98	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		99
		100	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		101	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		102	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		103	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		104
		105	systemctl reload nginx.service
		106	```
		107
		108	## Allgemeines Beispiel
		109
		110	```
		111	$ cat /usr/local/cert.d/yourservice
		112	#!/bin/bash
		113	set -o nounset
		114	set -o errexit
		115
		116	# of course, the paths may vary on your setup!
		117	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		118	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		119	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		120	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		121	#systemctl reload mydaemon
		122	```
		123
		124	# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		125
		126	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		127
		128	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		129
		130	## Vorbereitung bei Nutzung von rbg-cert
		131
		132	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		133	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		134
		135	```
		136	echo $UQN > /etc/uqn
		137	apt install strongswan-pki
		138	apt install python3-cryptography
		139
		140	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		141	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		142	cd /var/lib/rbg-cert/live/
		143
		144	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
		145	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
		146
		147	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
		148	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		149	```
		150
		151	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		152
		153	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		154
		155	## Enrollment
		156
		157	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
		158
		159	## API
		160
		161	Production:
		162
		163	URL: https://pira.in.tum.de/v0/server/[UQN]
		164
		165	GET → {cert, chain, fullchain, names, should_renew}
		166	POST {csr}
		167
		168	Hier sind keine Tests zulässig.
		169
		170	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		171
		172	# Sonderfall manuelle Ausstellung
		173
		174	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		175
		176	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
		177	1. Certificate Signing Request (`csr`) erzeugen
		178
		179	```none
		180	openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'
		181	```
		182	* weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
		183
		184	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		185	1. `.csr` hochladen
		186	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		187	1. alle anderen Felder leer lassen
		188	1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
		189	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		190	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"