ServerZertifikate

# Server-Zertifikate

Es werden verschiedene Fälle unterschieden:

cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

8

9

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

10

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

11

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.

12

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

## Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

17

18

1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

19

1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

20

1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

21

1 Nun kann man mit `rbg-cert` Zertifikate beantragen:

22

23

```

24

# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

25

rbg-cert --show

26

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

27

rbg-cert --force-request

28

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

rbg-cert

```

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

33

34

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

35

36

### Beispiel-Script für server reload

37

38

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

39

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

40

41

### Beispiel für Apache

42

43

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

44

45

```

46

SSLCertificateFile /etc/apache2/tls/fullchain.pem

47

SSLCertificateKeyFile /etc/apache2/tls/key.pem

48

```

49

50

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

51

52

```

53

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

59

60

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

61

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

62

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

63

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

64

65

systemctl reload apache2.service

66

```

67

68

### Beispiel für nginx

69

70

```

71

$ cat /etc/nginx/conf.d/ssl.conf

72

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

73

74

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

75

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

76

ssl_session_timeout 1d;

77

ssl_session_cache shared:SSL:50m;

78

ssl_session_tickets off;

79

80

# intermediate configuration

81

ssl_protocols TLSv1.2 TLSv1.3;

82

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

83

#ssl_prefer_server_ciphers off;

84

85

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

86

add_header Strict-Transport-Security "max-age=63072000" always;

87

88

# verify chain of trust of OCSP response using Root CA and Intermediate certs

89

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

90

91

add_header X-XSS-Protection "1; mode=block";

92

add_header X-Content-Type-Options nosniff;

93

```

94

95

Und der renew-hook (`chmod +x` nicht vergessen!)

96

97

```

98

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

104

105

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

106

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

107

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

108

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

109

110

systemctl reload nginx.service

111

```

112

113

### Allgemeines Beispiel

114

115

```

116

$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

122

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

123

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

124

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

125

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

126

#systemctl reload mydaemon

127

```

128

129

## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

130

131

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

132

133

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

134

135

### Vorbereitung bei Nutzung von rbg-cert

136

137

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

138

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

```

echo $UQN > /etc/uqn

apt install strongswan-pki

143

apt install python3-cryptography

144

145

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

146

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

147

cd /var/lib/rbg-cert/live/

148

149

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem

150

# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

151

152

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem

153

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

154

```

155

156

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

157

158

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

### Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

### API

Production:

```

URL: https://pira.in.tum.de/v0/server/[UQN]

170

171

GET → {cert, chain, fullchain, names, should_renew}

POST {csr}

```

Hier sind keine Tests zulässig.

176

177

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

178

179

## Sonderfall manuelle Ausstellung

180

181

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

182

183

1. Auf dem Zielserver z.B. nach `/etc/ssl/private`

184

1. Certificate Signing Request (`csr`) erzeugen

185

`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`

186

- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`

187

1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

188

1. `.csr` hochladen

189

1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

190

1. alle anderen Felder leer lassen

191

1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.

192

1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

193

1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki-Quellcode von ServerZertifikate

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	# Server-Zertifikate
		4
		5	Es werden verschiedene Fälle unterschieden:
		6
		7	cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		8
		9	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		10	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		11	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
		12	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		13
		14	## Ubuntu VM
		15
		16	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		17
		18	1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		19	1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		20	1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		21	1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
		22
		23	```
		24	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		25	rbg-cert --show
		26	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		27	rbg-cert --force-request
		28	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		29	rbg-cert
		30	```
		31
		32	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		33
		34	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		35
		36	### Beispiel-Script für server reload
		37
		38	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		39	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		40
		41	### Beispiel für Apache
		42
		43	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		44
		45	```
		46	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		47	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		48	```
		49
		50	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		51
		52	```
		53	$ cat /usr/local/cert.d/apache2
		54	#!/bin/bash
		55	set -o nounset
		56	set -o errexit
		57
		58	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		59
		60	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		61	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		62	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		63	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		64
		65	systemctl reload apache2.service
		66	```
		67
		68	### Beispiel für nginx
		69
		70	```
		71	$ cat /etc/nginx/conf.d/ssl.conf
		72	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		73
		74	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		75	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		76	ssl_session_timeout 1d;
		77	ssl_session_cache shared:SSL:50m;
		78	ssl_session_tickets off;
		79
		80	# intermediate configuration
		81	ssl_protocols TLSv1.2 TLSv1.3;
		82	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		83	#ssl_prefer_server_ciphers off;
		84
		85	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		86	add_header Strict-Transport-Security "max-age=63072000" always;
		87
		88	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		89	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		90
		91	add_header X-XSS-Protection "1; mode=block";
		92	add_header X-Content-Type-Options nosniff;
		93	```
		94
		95	Und der renew-hook (`chmod +x` nicht vergessen!)
		96
		97	```
		98	$ cat /usr/local/cert.d/nginx
		99	#!/bin/bash
		100	set -o nounset
		101	set -o errexit
		102
		103	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		104
		105	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		106	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		107	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		108	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		109
		110	systemctl reload nginx.service
		111	```
		112
		113	### Allgemeines Beispiel
		114
		115	```
		116	$ cat /usr/local/cert.d/yourservice
		117	#!/bin/bash
		118	set -o nounset
		119	set -o errexit
		120
		121	# of course, the paths may vary on your setup!
		122	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		123	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		124	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		125	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		126	#systemctl reload mydaemon
		127	```
		128
		129	## Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		130
		131	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		132
		133	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		134
		135	### Vorbereitung bei Nutzung von rbg-cert
		136
		137	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		138	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		139
		140	```
		141	echo $UQN > /etc/uqn
		142	apt install strongswan-pki
		143	apt install python3-cryptography
		144
		145	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		146	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		147	cd /var/lib/rbg-cert/live/
		148
		149	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
		150	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
		151
		152	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
		153	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		154	```
		155
		156	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		157
		158	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		159
		160	### Enrollment
		161
		162	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
		163
		164	### API
		165
		166	Production:
		167
		168	```
		169	URL: https://pira.in.tum.de/v0/server/[UQN]
		170
		171	GET → {cert, chain, fullchain, names, should_renew}
		172	POST {csr}
		173	```
		174
		175	Hier sind keine Tests zulässig.
		176
		177	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		178
		179	## Sonderfall manuelle Ausstellung
		180
		181	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		182
		183	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
		184	1. Certificate Signing Request (`csr`) erzeugen
		185	`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
		186	- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
		187	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		188	1. `.csr` hochladen
		189	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		190	1. alle anderen Felder leer lassen
		191	1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
		192	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		193	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"