Wiki source code of Server-Zertifikate

Version 9.1 by Thomas Walter Erbesdobler on 2023/07/06 14:57

version	line-number	content
1.1	1	{{toc/}}
	2
1.4	3	Es werden verschiedene Fälle unterschieden:
1.1	4
7.1	5	* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
	6	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
	7	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
	8	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
	9	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
1.1	10
6.1	11	# Ubuntu VM
1.1	12
	13	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
	14
7.1	15	1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
	16	1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
	17	1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
	18	1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
1.1	19
3.1	20	```
	21	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
1.1	22	rbg-cert --show
3.1	23	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
1.1	24	rbg-cert --force-request
3.1	25	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
1.1	26	rbg-cert
3.1	27	```
4.1	28
1.4	29	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
1.1	30
	31	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
	32
6.1	33	## Beispiel-Script für server reload
1.1	34
1.4	35	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
	36	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
1.1	37
6.1	38	## Beispiel für Apache
1.1	39
1.4	40	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
1.1	41
8.1	42	```none
1.1	43	SSLCertificateFile /etc/apache2/tls/fullchain.pem
	44	SSLCertificateKeyFile /etc/apache2/tls/key.pem
3.1	45	```
1.1	46
1.4	47	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
1.1	48
3.1	49	```
1.1	50	$ cat /usr/local/cert.d/apache2
	51	#!/bin/bash
	52	set -o nounset
	53	set -o errexit
	54
	55	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
	56
	57	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
	58	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
	59	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
	60	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
	61
	62	systemctl reload apache2.service
3.1	63	```
1.1	64
6.1	65	## Beispiel für nginx
1.1	66
3.1	67	```
	68	$ cat /etc/nginx/conf.d/ssl.conf
1.1	69	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
	70
	71	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
	72	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
	73	ssl_session_timeout 1d;
	74	ssl_session_cache shared:SSL:50m;
	75	ssl_session_tickets off;
	76
	77	# intermediate configuration
	78	ssl_protocols TLSv1.2 TLSv1.3;
	79	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
	80	#ssl_prefer_server_ciphers off;
	81
	82	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
	83	add_header Strict-Transport-Security "max-age=63072000" always;
	84
	85	# verify chain of trust of OCSP response using Root CA and Intermediate certs
	86	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
	87
	88	add_header X-XSS-Protection "1; mode=block";
	89	add_header X-Content-Type-Options nosniff;
3.1	90	```
1.1	91
1.4	92	Und der renew-hook (`chmod +x` nicht vergessen!)
1.1	93
3.1	94	```
1.1	95	$ cat /usr/local/cert.d/nginx
	96	#!/bin/bash
	97	set -o nounset
	98	set -o errexit
	99
	100	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
	101
	102	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
	103	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
	104	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
	105	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
	106
	107	systemctl reload nginx.service
3.1	108	```
1.1	109
6.1	110	## Allgemeines Beispiel
4.1	111
3.1	112	```
	113	$ cat /usr/local/cert.d/yourservice
1.1	114	#!/bin/bash
	115	set -o nounset
	116	set -o errexit
	117
	118	# of course, the paths may vary on your setup!
	119	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
	120	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
	121	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
	122	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
	123	#systemctl reload mydaemon
3.1	124	```
1.1	125
6.1	126	# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
1.1	127
	128	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
	129
1.4	130	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
1.1	131
6.1	132	## Vorbereitung bei Nutzung von rbg-cert
1.1	133
1.4	134	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
1.1	135	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
4.1	136
3.1	137	```
	138	echo $UQN > /etc/uqn
1.1	139	apt install strongswan-pki
	140	apt install python3-cryptography
	141
	142	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
	143	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
	144	cd /var/lib/rbg-cert/live/
	145
	146	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
	147	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
	148
	149	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
8.1	150	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
3.1	151	```
1.1	152
1.4	153	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
1.1	154
	155	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
	156
6.1	157	## Enrollment
1.1	158
1.4	159	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
1.1	160
6.1	161	## API
1.1	162
	163	Production:
	164
8.1	165	```none
3.1	166	URL: https://pira.in.tum.de/v0/server/[UQN]
1.1	167
3.1	168	GET → {cert, chain, fullchain, names, should_renew}
1.1	169	POST {csr}
3.1	170	```
1.1	171
	172	Hier sind keine Tests zulässig.
	173
	174	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
	175
6.1	176	# Sonderfall manuelle Ausstellung
1.1	177
	178	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
	179
7.1	180	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
	181	1. Certificate Signing Request (`csr`) erzeugen
5.1	182	`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
	183	- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
7.1	184	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
4.1	185	1. `.csr` hochladen
	186	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
	187	1. alle anderen Felder leer lassen
7.1	188	1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
	189	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
	190	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki source code of Server-Zertifikate

Navigation