ServerZertifikate

# Server-Zertifikate

Es werden verschiedene Fälle unterschieden:

cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

8

9

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

10

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

11

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.

12

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

## Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

17

18

1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

19

1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

20

1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

21

1 Nun kann man mit `rbg-cert` Zertifikate beantragen:

22

23

24

{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

25

rbg-cert --show

26

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

27

rbg-cert --force-request

28

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

rbg-cert

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

34

35

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

36

37

### Beispiel-Script für server reload

38

39

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

40

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

41

42

### Beispiel für Apache

43

44

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

SSLCertificateFile /etc/apache2/tls/fullchain.pem

49

SSLCertificateKeyFile /etc/apache2/tls/key.pem

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

63

64

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

65

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

66

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

67

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

68

69

systemctl reload apache2.service

### Beispiel für nginx

74

75

76

{{code}}$ cat /etc/nginx/conf.d/ssl.conf

77

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

78

79

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

80

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

81

ssl_session_timeout 1d;

82

ssl_session_cache shared:SSL:50m;

83

ssl_session_tickets off;

84

85

# intermediate configuration

86

ssl_protocols TLSv1.2 TLSv1.3;

87

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

88

#ssl_prefer_server_ciphers off;

89

90

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

91

add_header Strict-Transport-Security "max-age=63072000" always;

92

93

# verify chain of trust of OCSP response using Root CA and Intermediate certs

94

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

95

96

add_header X-XSS-Protection "1; mode=block";

97

add_header X-Content-Type-Options nosniff;

Und der renew-hook (`chmod +x` nicht vergessen!)

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

111

112

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

113

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

114

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

115

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

116

117

systemctl reload nginx.service

### Allgemeines Beispiel

122

123

124

{{code}}$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

130

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

131

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

132

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

133

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

134

#systemctl reload mydaemon

## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

139

140

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

141

142

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

143

144

### Vorbereitung bei Nutzung von rbg-cert

145

146

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

147

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

148

149

150

{{code}}echo $UQN > /etc/uqn

151

apt install strongswan-pki

152

apt install python3-cryptography

153

154

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

155

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

156

cd /var/lib/rbg-cert/live/

157

158

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem

159

# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

160

161

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem

162

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

167

168

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

### Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

### API

Production:

{{code}}URL: https://pira.in.tum.de/v0/server/[UQN]

180

181

GET → {cert, chain, fullchain, names, should_renew}

POST {csr}

Hier sind keine Tests zulässig.

187

188

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

189

190

## Sonderfall manuelle Ausstellung

191

192

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

193

194

1 Auf dem Zielserver z.B. nach `/etc/ssl/private` wechseln

195

1 Certificate Signing Request (`csr`) erzeugen

196

197

1 [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

198

1 `.csr` hochladen

199

1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

200

1 alle anderen Felder leer lassen

201

1 Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.

202

1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

203

1 [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki source code of ServerZertifikate

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	# Server-Zertifikate
		4
		5	Es werden verschiedene Fälle unterschieden:
		6
		7	cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		8
		9	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		10	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		11	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
		12	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		13
		14	## Ubuntu VM
		15
		16	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		17
		18	1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		19	1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		20	1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		21	1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
		22
		23	{{html wiki="true"}}
		24	{{code}}# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		25	rbg-cert --show
		26	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		27	rbg-cert --force-request
		28	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		29	rbg-cert
		30	{{/code}}
		31	{{/html}}
		32
		33	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		34
		35	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		36
		37	### Beispiel-Script für server reload
		38
		39	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		40	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		41
		42	### Beispiel für Apache
		43
		44	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		45
		46	{{html wiki="true"}}
		47	{{code}}
		48	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		49	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		50	{{/code}}
		51	{{/html}}
		52
		53	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		54
		55	{{html wiki="true"}}
		56	{{code}}
		57	$ cat /usr/local/cert.d/apache2
		58	#!/bin/bash
		59	set -o nounset
		60	set -o errexit
		61
		62	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		63
		64	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		65	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		66	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		67	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		68
		69	systemctl reload apache2.service
		70	{{/code}}
		71	{{/html}}
		72
		73	### Beispiel für nginx
		74
		75	{{html wiki="true"}}
		76	{{code}}$ cat /etc/nginx/conf.d/ssl.conf
		77	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		78
		79	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		80	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		81	ssl_session_timeout 1d;
		82	ssl_session_cache shared:SSL:50m;
		83	ssl_session_tickets off;
		84
		85	# intermediate configuration
		86	ssl_protocols TLSv1.2 TLSv1.3;
		87	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		88	#ssl_prefer_server_ciphers off;
		89
		90	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		91	add_header Strict-Transport-Security "max-age=63072000" always;
		92
		93	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		94	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		95
		96	add_header X-XSS-Protection "1; mode=block";
		97	add_header X-Content-Type-Options nosniff;
		98	{{/code}}
		99	{{/html}}
		100
		101	Und der renew-hook (`chmod +x` nicht vergessen!)
		102
		103	{{html wiki="true"}}
		104	{{code}}
		105	$ cat /usr/local/cert.d/nginx
		106	#!/bin/bash
		107	set -o nounset
		108	set -o errexit
		109
		110	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		111
		112	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		113	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		114	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		115	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		116
		117	systemctl reload nginx.service
		118	{{/code}}
		119	{{/html}}
		120
		121	### Allgemeines Beispiel
		122
		123	{{html wiki="true"}}
		124	{{code}}$ cat /usr/local/cert.d/yourservice
		125	#!/bin/bash
		126	set -o nounset
		127	set -o errexit
		128
		129	# of course, the paths may vary on your setup!
		130	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		131	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		132	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		133	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		134	#systemctl reload mydaemon
		135	{{/code}}
		136	{{/html}}
		137
		138	## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		139
		140	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		141
		142	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		143
		144	### Vorbereitung bei Nutzung von rbg-cert
		145
		146	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		147	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		148
		149	{{html wiki="true"}}
		150	{{code}}echo $UQN > /etc/uqn
		151	apt install strongswan-pki
		152	apt install python3-cryptography
		153
		154	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		155	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		156	cd /var/lib/rbg-cert/live/
		157
		158	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
		159	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
		160
		161	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
		162	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		163	{{/code}}
		164	{{/html}}
		165
		166	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		167
		168	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		169
		170	### Enrollment
		171
		172	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
		173
		174	### API
		175
		176	Production:
		177
		178	{{html wiki="true"}}
		179	{{code}}URL: https://pira.in.tum.de/v0/server/[UQN]
		180
		181	GET → {cert, chain, fullchain, names, should_renew}
		182	POST {csr}
		183	{{/code}}
		184	{{/html}}
		185
		186	Hier sind keine Tests zulässig.
		187
		188	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		189
		190	## Sonderfall manuelle Ausstellung
		191
		192	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		193
		194	1 Auf dem Zielserver z.B. nach `/etc/ssl/private` wechseln
		195	1 Certificate Signing Request (`csr`) erzeugen
		196
		197	1 [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		198	1 `.csr` hochladen
		199	1 unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		200	1 alle anderen Felder leer lassen
		201	1 Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an rbg@in.tum.de schicken.
		202	1 auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		203	1 [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"