Server-Zertifikate

Es werden verschiedene Fälle unterschieden:

cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

6

7

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

8

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

9

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.

10

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

# Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

15

16

1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

17

1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

18

1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

19

1 Nun kann man mit `rbg-cert` Zertifikate beantragen:

20

21

```

22

# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

23

rbg-cert --show

24

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

25

rbg-cert --force-request

26

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

rbg-cert

```

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

31

32

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

33

34

## Beispiel-Script für server reload

35

36

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

37

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

38

39

## Beispiel für Apache

40

41

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

42

43

```

44

SSLCertificateFile /etc/apache2/tls/fullchain.pem

45

SSLCertificateKeyFile /etc/apache2/tls/key.pem

46

```

47

48

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

49

50

```

51

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

57

58

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

59

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

60

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

61

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

62

63

systemctl reload apache2.service

64

```

65

66

## Beispiel für nginx

67

68

```

69

$ cat /etc/nginx/conf.d/ssl.conf

70

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

71

72

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

73

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

74

ssl_session_timeout 1d;

75

ssl_session_cache shared:SSL:50m;

76

ssl_session_tickets off;

77

78

# intermediate configuration

79

ssl_protocols TLSv1.2 TLSv1.3;

80

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

81

#ssl_prefer_server_ciphers off;

82

83

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

84

add_header Strict-Transport-Security "max-age=63072000" always;

85

86

# verify chain of trust of OCSP response using Root CA and Intermediate certs

87

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

88

89

add_header X-XSS-Protection "1; mode=block";

90

add_header X-Content-Type-Options nosniff;

91

```

92

93

Und der renew-hook (`chmod +x` nicht vergessen!)

94

95

```

96

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

102

103

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

104

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

105

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

106

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

107

108

systemctl reload nginx.service

109

```

110

111

## Allgemeines Beispiel

112

113

```

114

$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

120

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

121

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

122

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

123

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

124

#systemctl reload mydaemon

125

```

126

127

# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

128

129

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

130

131

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

132

133

## Vorbereitung bei Nutzung von rbg-cert

134

135

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

136

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

```

echo $UQN > /etc/uqn

apt install strongswan-pki

141

apt install python3-cryptography

142

143

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

144

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

145

cd /var/lib/rbg-cert/live/

146

147

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem

148

# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

149

150

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem

151

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

152

```

153

154

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

155

156

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

## Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

## API

Production:

```

URL: https://pira.in.tum.de/v0/server/[UQN]

168

169

GET → {cert, chain, fullchain, names, should_renew}

POST {csr}

```

Hier sind keine Tests zulässig.

174

175

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

176

177

# Sonderfall manuelle Ausstellung

178

179

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

180

181

1. Auf dem Zielserver z.B. nach `/etc/ssl/private`

182

1. Certificate Signing Request (`csr`) erzeugen

183

`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`

184

- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`

185

1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

186

1. `.csr` hochladen

187

1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

188

1. alle anderen Felder leer lassen

189

1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.

190

1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

191

1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki-Quellcode von Server-Zertifikate

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	Es werden verschiedene Fälle unterschieden:
		4
		5	cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		6
		7	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		8	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		9	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
		10	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		11
		12	# Ubuntu VM
		13
		14	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		15
		16	1 In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		17	1 Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		18	1 Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		19	1 Nun kann man mit `rbg-cert` Zertifikate beantragen:
		20
		21	```
		22	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		23	rbg-cert --show
		24	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		25	rbg-cert --force-request
		26	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		27	rbg-cert
		28	```
		29
		30	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		31
		32	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		33
		34	## Beispiel-Script für server reload
		35
		36	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		37	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		38
		39	## Beispiel für Apache
		40
		41	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		42
		43	```
		44	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		45	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		46	```
		47
		48	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		49
		50	```
		51	$ cat /usr/local/cert.d/apache2
		52	#!/bin/bash
		53	set -o nounset
		54	set -o errexit
		55
		56	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		57
		58	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		59	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		60	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		61	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		62
		63	systemctl reload apache2.service
		64	```
		65
		66	## Beispiel für nginx
		67
		68	```
		69	$ cat /etc/nginx/conf.d/ssl.conf
		70	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		71
		72	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		73	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		74	ssl_session_timeout 1d;
		75	ssl_session_cache shared:SSL:50m;
		76	ssl_session_tickets off;
		77
		78	# intermediate configuration
		79	ssl_protocols TLSv1.2 TLSv1.3;
		80	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		81	#ssl_prefer_server_ciphers off;
		82
		83	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		84	add_header Strict-Transport-Security "max-age=63072000" always;
		85
		86	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		87	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		88
		89	add_header X-XSS-Protection "1; mode=block";
		90	add_header X-Content-Type-Options nosniff;
		91	```
		92
		93	Und der renew-hook (`chmod +x` nicht vergessen!)
		94
		95	```
		96	$ cat /usr/local/cert.d/nginx
		97	#!/bin/bash
		98	set -o nounset
		99	set -o errexit
		100
		101	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		102
		103	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		104	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		105	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		106	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		107
		108	systemctl reload nginx.service
		109	```
		110
		111	## Allgemeines Beispiel
		112
		113	```
		114	$ cat /usr/local/cert.d/yourservice
		115	#!/bin/bash
		116	set -o nounset
		117	set -o errexit
		118
		119	# of course, the paths may vary on your setup!
		120	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		121	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		122	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		123	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		124	#systemctl reload mydaemon
		125	```
		126
		127	# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		128
		129	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		130
		131	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		132
		133	## Vorbereitung bei Nutzung von rbg-cert
		134
		135	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		136	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		137
		138	```
		139	echo $UQN > /etc/uqn
		140	apt install strongswan-pki
		141	apt install python3-cryptography
		142
		143	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		144	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		145	cd /var/lib/rbg-cert/live/
		146
		147	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
		148	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
		149
		150	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
		151	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		152	```
		153
		154	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		155
		156	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		157
		158	## Enrollment
		159
		160	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
		161
		162	## API
		163
		164	Production:
		165
		166	```
		167	URL: https://pira.in.tum.de/v0/server/[UQN]
		168
		169	GET → {cert, chain, fullchain, names, should_renew}
		170	POST {csr}
		171	```
		172
		173	Hier sind keine Tests zulässig.
		174
		175	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		176
		177	# Sonderfall manuelle Ausstellung
		178
		179	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		180
		181	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
		182	1. Certificate Signing Request (`csr`) erzeugen
		183	`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
		184	- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
		185	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		186	1. `.csr` hochladen
		187	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		188	1. alle anderen Felder leer lassen
		189	1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
		190	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		191	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"