Server-Zertifikate

Es werden verschiedene Fälle unterschieden:

* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert|Informatik.Benutzerwiki.ServerZertifikate|anchor="Ubuntu_VM"]]

6

* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten|Informatik.Benutzerwiki.ServerZertifikate|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]

7

* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)

8

* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung|Informatik.Benutzerwiki.ServerZertifikate|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.

9

* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen|Informatik.Benutzerwiki.ServerZertifikate|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]

# Ubuntu VM

Für neue VMs ist die erforderliche Software bereits vorinstalliert.

14

15

1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.

16

1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen

17

1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.

18

1. Nun kann man mit `rbg-cert` Zertifikate beantragen:

19

20

```

21

# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!

22

rbg-cert --show

23

# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:

24

rbg-cert --force-request

25

# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):

rbg-cert

```

`rbg-cert.service` und `rbg-cert.timer` **verlängern** das Zertifikat automatisch 30 Tage vor Ablauf.

30

31

Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.

32

33

## Beispiel-Script für server reload

34

35

Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.

36

Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):

37

38

## Beispiel für Apache

39

40

Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:

41

42

```none

43

SSLCertificateFile /etc/apache2/tls/fullchain.pem

44

SSLCertificateKeyFile /etc/apache2/tls/key.pem

45

```

46

47

Und der automatische renew-hook (`chmod +x` nicht vergessen!)

48

49

```

50

$ cat /usr/local/cert.d/apache2

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls

56

57

install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem

58

#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem

59

#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem

60

install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem

61

62

systemctl reload apache2.service

63

```

64

65

## Beispiel für nginx

66

67

```

68

$ cat /etc/nginx/conf.d/ssl.conf

69

# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/

70

71

ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA

72

ssl_certificate_key /etc/nginx/tls/key.pem; # secret key

73

ssl_session_timeout 1d;

74

ssl_session_cache shared:SSL:50m;

75

ssl_session_tickets off;

76

77

# intermediate configuration

78

ssl_protocols TLSv1.2 TLSv1.3;

79

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

80

#ssl_prefer_server_ciphers off;

81

82

# HSTS (ngx_http_headers_module is required) (63072000 seconds)

83

add_header Strict-Transport-Security "max-age=63072000" always;

84

85

# verify chain of trust of OCSP response using Root CA and Intermediate certs

86

ssl_trusted_certificate /etc/nginx/tls/trusted.pem;

87

88

add_header X-XSS-Protection "1; mode=block";

89

add_header X-Content-Type-Options nosniff;

90

```

91

92

Und der renew-hook (`chmod +x` nicht vergessen!)

93

94

```

95

$ cat /usr/local/cert.d/nginx

#!/bin/bash

set -o nounset

set -o errexit

[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls

101

102

install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem

103

#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem

104

install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem

105

install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem

106

107

systemctl reload nginx.service

108

```

109

110

## Allgemeines Beispiel

111

112

```

113

$ cat /usr/local/cert.d/yourservice

#!/bin/bash

set -o nounset

set -o errexit

# of course, the paths may vary on your setup!

119

#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem

120

#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem

121

#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem

122

#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem

123

#systemctl reload mydaemon

124

```

125

126

# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden

127

128

Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.

129

130

_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.

131

132

## Vorbereitung bei Nutzung von rbg-cert

133

134

Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.

135

Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:

```

echo $UQN > /etc/uqn

apt install strongswan-pki

140

apt install python3-cryptography

141

142

mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts

143

mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here

144

cd /var/lib/rbg-cert/live/

145

146

pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem

147

# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem

148

149

pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem

150

# Diesen pubkey dann in der StrukturDB für PIRA registrieren

151

```

152

153

`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.

154

155

Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!

## Enrollment

Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.

## API

Production:

```none

URL: https://pira.in.tum.de/v0/server/[UQN]

167

168

GET → {cert, chain, fullchain, names, should_renew}

POST {csr}

```

Hier sind keine Tests zulässig.

173

174

Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.

175

176

# Sonderfall manuelle Ausstellung

177

178

Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:

179

180

1. Auf dem Zielserver z.B. nach `/etc/ssl/private`

181

1. Certificate Signing Request (`csr`) erzeugen

182

`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`

183

- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`

184

1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):

185

1. `.csr` hochladen

186

1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen

187

1. alle anderen Felder leer lassen

188

1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.

189

1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen

190

1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"

Wiki-Quellcode von Server-Zertifikate

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	Es werden verschiedene Fälle unterschieden:
		4
		5	* cit/in/ma.tum.de Domains auf [[Ubuntu-VM im ESXi: mit rbg-cert\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Ubuntu_VM"]]
		6	* cit/in/ma.tum.de Domains auf anderen Maschinen: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions) oder [[rbg-cert selber einrichten\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Serverzertifikat_f_252r_alle_anderen_Maschinen_44_deren_Namen_252ber_die_Strukturdb_verwaltet_werden"]]
		7	* andere Domains: eigenständig mit [Let's Encrypt](https://certbot.eff.org/instructions)
		8	* Falls keine der Optionen möglich ist: Es muss begründet werden, warum weder rbg-cert noch Let's Encrypt möglich ist, dann kann ausnahmsweise eine [[manuelle Ausstellung\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Sonderfall_manuelle_Ausstellung"]] erfolgen.
		9	* Hilfe, ich habe EC Schlüssel und muss aber in die Vergangenheit zu RSA reisen: [[Neuen Schlüssel generieren und in der Struk eintragen\|Informatik.Benutzerwiki.ServerZertifikate\|anchor="Vorbereitung_bei_Nutzung_von_rbg_45cert"]]
		10
		11	# Ubuntu VM
		12
		13	Für neue VMs ist die erforderliche Software bereits vorinstalliert.
		14
		15	1. In der [StrukturDB](https://rbgwebapp.in.tum.de/struktur/) müssen alle Aliase korrekt eingetragen sein. Bei Service-IPs muss `servicehost` auf den tatsächlichen Host (also Server/VM/...) verweisen.
		16	1. Das Zertifikat wird dann in `/var/lib/rbg-cert/live/HOST.cert.pem` liegen
		17	1. Um auf der Maschine die Dienste neuzustarten/neuzuladen, wenn ein neues Zertifikat da ist, legt man scripte in `/usr/local/cert.d/` ab, die mit `run-parts(8)` kompatibel sind. Das erste Argument ist der Teilpfad zum neuen Zertifikat. Unten ist ein Beispielscript für einen Apache2-reload.
		18	1. Nun kann man mit `rbg-cert` Zertifikate beantragen:
		19
		20	```
		21	# Zur Kontrolle die konfigurierten Namen abfragen, fehlende in der StrukturDB eintragen!
		22	rbg-cert --show
		23	# Initiale Beantragung oder nach Namensänderung neues Zertifikat beantragen:
		24	rbg-cert --force-request
		25	# Nach ein paar Minuten das Zertifikat downloaden (oder man wartet bis der systemd-timer läuft):
		26	rbg-cert
		27	```
		28
		29	`rbg-cert.service` und `rbg-cert.timer` verlängern das Zertifikat automatisch 30 Tage vor Ablauf.
		30
		31	Bitte modifiziert unsere Software nicht, denn sie wird zentral von uns aktualisiert. Bei Fragen/Anregungen gerne die Systemgruppe kontaktieren.
		32
		33	## Beispiel-Script für server reload
		34
		35	Da Programme (nginx, postfix, ...) nicht riechen können, wann ein neues Zertifikat da ist, muss man ihnen das mitteilen.
		36	Am einfachsten mit Scripten in `/usr/local/cert.d/...`, die ausführbar sind (`chmod +x`):
		37
		38	## Beispiel für Apache
		39
		40	Im `VirtualHost` Block in `/etc/apache2/sites-enabled/MYSERVICE.conf`:
		41
		42	```none
		43	SSLCertificateFile /etc/apache2/tls/fullchain.pem
		44	SSLCertificateKeyFile /etc/apache2/tls/key.pem
		45	```
		46
		47	Und der automatische renew-hook (`chmod +x` nicht vergessen!)
		48
		49	```
		50	$ cat /usr/local/cert.d/apache2
		51	#!/bin/bash
		52	set -o nounset
		53	set -o errexit
		54
		55	[ ! -d /etc/apache2/tls ] && mkdir /etc/apache2/tls
		56
		57	install --mode 0600 "$1".privkey.pem /etc/apache2/tls/key.pem
		58	#install --mode 0644 "$1".cert.pem /etc/apache2/tls/cert.pem
		59	#install --mode 0644 "$1".chain.pem /etc/apache2/tls/trusted.pem
		60	install --mode 0644 "$1".fullchain.pem /etc/apache2/tls/fullchain.pem
		61
		62	systemctl reload apache2.service
		63	```
		64
		65	## Beispiel für nginx
		66
		67	```
		68	$ cat /etc/nginx/conf.d/ssl.conf
		69	# config from https://mozilla.github.io/server-side-tls/ssl-config-generator/
		70
		71	ssl_certificate /etc/nginx/tls/fullchain.pem; # cert + parent CAs except root CA
		72	ssl_certificate_key /etc/nginx/tls/key.pem; # secret key
		73	ssl_session_timeout 1d;
		74	ssl_session_cache shared:SSL:50m;
		75	ssl_session_tickets off;
		76
		77	# intermediate configuration
		78	ssl_protocols TLSv1.2 TLSv1.3;
		79	ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
		80	#ssl_prefer_server_ciphers off;
		81
		82	# HSTS (ngx_http_headers_module is required) (63072000 seconds)
		83	add_header Strict-Transport-Security "max-age=63072000" always;
		84
		85	# verify chain of trust of OCSP response using Root CA and Intermediate certs
		86	ssl_trusted_certificate /etc/nginx/tls/trusted.pem;
		87
		88	add_header X-XSS-Protection "1; mode=block";
		89	add_header X-Content-Type-Options nosniff;
		90	```
		91
		92	Und der renew-hook (`chmod +x` nicht vergessen!)
		93
		94	```
		95	$ cat /usr/local/cert.d/nginx
		96	#!/bin/bash
		97	set -o nounset
		98	set -o errexit
		99
		100	[ ! -d /etc/nginx/tls ] && mkdir /etc/nginx/tls
		101
		102	install --mode 0600 "$1".privkey.pem /etc/nginx/tls/key.pem
		103	#install --mode 0644 "$1".cert.pem /etc/nginx/tls/cert.pem
		104	install --mode 0644 "$1".chain.pem /etc/nginx/tls/trusted.pem
		105	install --mode 0644 "$1".fullchain.pem /etc/nginx/tls/fullchain.pem
		106
		107	systemctl reload nginx.service
		108	```
		109
		110	## Allgemeines Beispiel
		111
		112	```
		113	$ cat /usr/local/cert.d/yourservice
		114	#!/bin/bash
		115	set -o nounset
		116	set -o errexit
		117
		118	# of course, the paths may vary on your setup!
		119	#install --mode 0600 --owner myowner "$1".privkey.pem /etc/mydaemon/tls/privkey.pem
		120	#install --mode 0644 --owner myowner "$1".cert.pem /etc/mydaemon/tls/cert.pem
		121	#install --mode 0644 --owner myowner "$1".chain.pem /etc/mydaemon/tls/chain.pem
		122	#install --mode 0644 --owner myowner "$1".fullchain.pem /etc/mydaemon/tls/chainwithcert.pem
		123	#systemctl reload mydaemon
		124	```
		125
		126	# Serverzertifikat für alle anderen Maschinen, deren Namen über die Strukturdb verwaltet werden
		127
		128	Für andere Maschinen können die Zertifikate über API bezogen werden, sofern die Namen alle in der Strukturdb verwaltet werden. Die Namen müssen also ebenfalls wie obenstehend beschrieben in der Strukturdb konfiguriert werden.
		129
		130	_Wir bitten, vor der Nutzung die Systemgruppe zur Beratung zu kontaktieren_. Im Lauf der Zeit können API-Änderungen notwendig werden, dies bitte im Hinterkopf behalten.
		131
		132	## Vorbereitung bei Nutzung von rbg-cert
		133
		134	Das Programm `rbg-cert` verwendet auch die API, d.h. man kann es auf andere Maschinen portieren.
		135	Zur Vorbereitung auf den Einsatz von rbg-cert sind folgende Schritte notwendig:
		136
		137	```
		138	echo $UQN > /etc/uqn
		139	apt install strongswan-pki
		140	apt install python3-cryptography
		141
		142	mkdir -pm755 /usr/local/cert.d/ # for post-renew trigger scripts
		143	mkdir -pm700 /var/lib/rbg-cert/live/ # certs will be here
		144	cd /var/lib/rbg-cert/live/
		145
		146	pki --gen --type ecdsa --size 256 --outform pem > $UQN.privkey.pem
		147	# Falls RSA benötigt wird: pki --gen --type rsa --size 3072 --outform pem > $UQN.privkey.pem
		148
		149	pki --pub --in $UQN.privkey.pem --outform pem > $UQN.pubkey.pem
		150	# Diesen pubkey dann in der StrukturDB für PIRA registrieren
		151	```
		152
		153	`rbg-cert` und systemd timer/service sind von einer aktuellen Ubuntu-VM zu kopieren.
		154
		155	Falls Eigenentwicklungen zwingend notwendig sind, bitte das Verhalten von rbg-cert beibehalten!
		156
		157	## Enrollment
		158
		159	Der public key wird im Hosteintrag in der StrukturDB gespeichert. Bspw. per struklib auf lsadmin oder per <https://rbgwebapp.in.tum.de/struktur/treeview.> Nach spätestens einer guten Minute sollte der Key dann der RA bekannt sein, ab diesem Zeitpunkt kann die API verwendet werden.
		160
		161	## API
		162
		163	Production:
		164
		165	```none
		166	URL: https://pira.in.tum.de/v0/server/[UQN]
		167
		168	GET → {cert, chain, fullchain, names, should_renew}
		169	POST {csr}
		170	```
		171
		172	Hier sind keine Tests zulässig.
		173
		174	Public keys können im Moment nicht aus der RA entfernt werden, bei Kompromittierung bitte den public key ersetzen.
		175
		176	# Sonderfall manuelle Ausstellung
		177
		178	Manuelle Ausstellung mit Genehmigung durch RBG nur möglich, wenn technisch weder rbg-cert noch Let's Encrypt möglich sind:
		179
		180	1. Auf dem Zielserver z.B. nach `/etc/ssl/private`
		181	1. Certificate Signing Request (`csr`) erzeugen
		182	`openssl req -newkey rsa:3072 -nodes -keyout SERVERNAME.key -out SERVERNAME.csr -subj '/C=DE/O=Technische Universitaet Muenchen/CN=SERVERNAME.cit.tum.de'`
		183	- weitere namen in csr packen: `-addext "subjectAltName = DNS:OTHERNAME.cit.tum.de, DNS:ANOTHERNAME.cit.tum.de"`
		184	1. [Bei der CA](https://cert-manager.com/customer/DFN/ssl/dUIh9O1QABKy40PikBgN):
		185	1. `.csr` hochladen
		186	1. unter "Subject Alternative Names" alle weiteren ggf. benötigten Namen eintragen
		187	1. alle anderen Felder leer lassen
		188	1. Bitte den `commonName` (CN) mit Begründung warum rbg-cert und Let's Encrypt nicht möglich sind per E-Mail an <rbg@in.tum.de> schicken.
		189	1. auf "Certificate approved" E-Mail warten, "Certificate ID" entnehmen
		190	1. [herunterladen](https://cert-manager.com/customer/DFN/idp/ssl/dUIh9O1QABKy40PikBgN?action=download) mit ID und "Certificate (w/issuer after)"