ServerZertifikate

# Server-Zertifikate

Es werden verschiedene Fälle unterschieden:

cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

8

9

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

10

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

11

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.

12

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

## Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

17

18

1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

19

1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

20

1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

21

1 Nun kann man mit `rbg-cert` Zertifikate beantragen:

22

23

```

24

# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

25

rbg-cert --show

26

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

27

rbg-cert --force-request

28

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

29

rbg-cert

30

```

31

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

32

33

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

34

35

### Beispiel-Script für server reload

36

37

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

38

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

39

40

### Beispiel für Apache

41

42

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

43

44

```

45

SSLCertificateFile /etc/apache2/tls/fullchain.pem

46

SSLCertificateKeyFile /etc/apache2/tls/key.pem

47

```

48

49

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

50

51

```

52

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

58

59

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

60

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

61

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

62

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

63

64

systemctl reload apache2.service

65

```

66

67

### Beispiel für nginx

68

69

```

70

$ cat /etc/nginx/conf.d/ssl.conf

71

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

72

73

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

74

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

75

ssl_session_timeout 1d;

76

ssl_session_cache shared:SSL:50m;

77

ssl_session_tickets off;

78

79

# intermediate configuration

80

ssl_protocols TLSv1.2 TLSv1.3;

81

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

82

#ssl_prefer_server_ciphers off;

83

84

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

85

add_header Strict-Transport-Security "max-age=63072000" always;

86

87

# verify chain of trust of OCSP response using Root CA and Intermediate certs

88

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

89

90

add_header X-XSS-Protection "1; mode=block";

91

add_header X-Content-Type-Options nosniff;

92

```

93

94

Und der renew-hook (`chmod +x` nicht vergessen!)

95

96

```

97

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

103

104

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

105

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

106

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

107

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

108

109

systemctl reload nginx.service

110

```

111

112

### Allgemeines Beispiel

113

```

114

$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

120

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

121

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

122

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

123

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

124

#systemctl reload mydaemon

125

```

126

127

## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

128

129

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

130

131

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

132

133

### Vorbereitung bei Nutzung von rbg-cert

134

135

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

136

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

137

```

138

echo $UQN > /etc/uqn

139

apt install strongswan-pki

140

apt install python3-cryptography

141

142

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

143

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

144

cd /var/lib/rbg-cert/live/

145

146

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem

147

# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

148

149

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem

150

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

151

```

152

153

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

154

155

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

### Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

### API

Production:

```

URL: https://pira.in.tum.de/v0/server/[UQN]

167

168

GET → {cert, chain, fullchain, names, should_renew}

POST {csr}

```

Hier sind keine Tests zulässig.

173

174

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

175

176

## Sonderfall manuelle Ausstellung

177

178

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

179

180

1. Auf dem Zielserver z.B. nach `/etc/ssl/private`

181

2. Certificate Signing Request (`csr`) erzeugen

182

`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`

183

3. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

184

1. `.csr` hochladen

185

2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

186

3. alle anderen Felder leer lassen

187

4. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.

188

5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

189

6. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki-Quellcode von ServerZertifikate

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	# Server-Zertifikate
		4
		5	Es werden verschiedene Fälle unterschieden:
		6
		7	cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		8
		9	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		10	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		11	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
		12	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		13
		14	## Ubuntu VM
		15
		16	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		17
		18	1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		19	1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		20	1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		21	1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
		22
		23	```
		24	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		25	rbg-cert --show
		26	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		27	rbg-cert --force-request
		28	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		29	rbg-cert
		30	```
		31	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		32
		33	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		34
		35	### Beispiel-Script für server reload
		36
		37	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		38	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		39
		40	### Beispiel für Apache
		41
		42	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		43
		44	```
		45	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		46	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		47	```
		48
		49	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		50
		51	```
		52	$ cat /usr/local/cert.d/apache2
		53	#!/bin/bash
		54	set -o nounset
		55	set -o errexit
		56
		57	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		58
		59	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		60	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		61	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		62	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		63
		64	systemctl reload apache2.service
		65	```
		66
		67	### Beispiel für nginx
		68
		69	```
		70	$ cat /etc/nginx/conf.d/ssl.conf
		71	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		72
		73	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		74	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		75	ssl_session_timeout 1d;
		76	ssl_session_cache shared:SSL:50m;
		77	ssl_session_tickets off;
		78
		79	# intermediate configuration
		80	ssl_protocols TLSv1.2 TLSv1.3;
		81	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		82	#ssl_prefer_server_ciphers off;
		83
		84	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		85	add_header Strict-Transport-Security "max-age=63072000" always;
		86
		87	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		88	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		89
		90	add_header X-XSS-Protection "1; mode=block";
		91	add_header X-Content-Type-Options nosniff;
		92	```
		93
		94	Und der renew-hook (`chmod +x` nicht vergessen!)
		95
		96	```
		97	$ cat /usr/local/cert.d/nginx
		98	#!/bin/bash
		99	set -o nounset
		100	set -o errexit
		101
		102	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		103
		104	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		105	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		106	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		107	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		108
		109	systemctl reload nginx.service
		110	```
		111
		112	### Allgemeines Beispiel
		113	```
		114	$ cat /usr/local/cert.d/yourservice
		115	#!/bin/bash
		116	set -o nounset
		117	set -o errexit
		118
		119	# of course, the paths may vary on your setup!
		120	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		121	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		122	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		123	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		124	#systemctl reload mydaemon
		125	```
		126
		127	## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		128
		129	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		130
		131	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		132
		133	### Vorbereitung bei Nutzung von rbg-cert
		134
		135	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		136	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		137	```
		138	echo $UQN > /etc/uqn
		139	apt install strongswan-pki
		140	apt install python3-cryptography
		141
		142	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		143	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		144	cd /var/lib/rbg-cert/live/
		145
		146	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
		147	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
		148
		149	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
		150	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		151	```
		152
		153	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		154
		155	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		156
		157	### Enrollment
		158
		159	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
		160
		161	### API
		162
		163	Production:
		164
		165	```
		166	URL: https://pira.in.tum.de/v0/server/[UQN]
		167
		168	GET → {cert, chain, fullchain, names, should_renew}
		169	POST {csr}
		170	```
		171
		172	Hier sind keine Tests zulässig.
		173
		174	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		175
		176	## Sonderfall manuelle Ausstellung
		177
		178	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		179
		180	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
		181	2. Certificate Signing Request (`csr`) erzeugen
		182	`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
		183	3. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		184	1. `.csr` hochladen
		185	2. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		186	3. alle anderen Felder leer lassen
		187	4. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
		188	5. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		189	6. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"