ssl-certs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
ssl-certs [2012/02/02 13:42] – [Linux] m4yerssl-certs [2016/10/28 13:12] (current) – [Zertifikate mit alternativen Namen] rellig
Line 1: Line 1:
 ====== Informationen über die minad.de SSL-Zertifkikate ====== ====== Informationen über die minad.de SSL-Zertifkikate ======
-minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.+minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. <del>Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.</del> Wie jeder vernünftige Mensch verwendet minad jetzt [[https://letsencrypt.org/|Let's Encrypt]].
  
-===== Import des CA-Zertifikats =====+===== Zertifikat Neuantrag =====
  
-Um den Warnungen über das Unbekannte Zertifikat aus dem Weg zu gehen, muss man dem CA-Zertifikat vertrauenDas macht man in dem man [[https://brot.minad.de/cacert.pem|Das CA-Zertifikat]] herunterläd (MD5: 4c934a186ea68f949758c4ccffa77f2d) und im Betriebssystem importiert+Neue Zertifikate müssen nur einmal beantragt werdenDafür hat sich folgender command etabliert:
  
-==== Linux ====+<file bash - > 
 +certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d brot.minad.de 
 +</file> 
 +   
 +Hinweis: Nachdem es ein Limit von 20 renews pro Domain pro Woche gibt (domain in dem fall minad.de oder grilldienstag.de ohne jeweilige sub), bietet es sich an Domains logisch zusammenzufassen.
  
 +Deswegen [[ssl_cert_list|hier eine Liste unserer Zertifikate inkl. der Domains für die sie gelten]].
  
-''certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n minad -i cacert.pem '' +===== Zertifikate mit alternativen Namen ===== 
-==== Windows ==== +Ein Zertifikat mit alternativen Namen wird ähnlich ausgestellt wie ein Zertifikat für eine Domain. Weitere Domains werden einfach Komma-getrennt an die Option //-d// angehängtMaximal 100 Domains können in einem Zertifikat gespeichert werdenMit den 20 Domains pro Woche ergeben sich so 2000 geschützte Seiten.
-  Start -> Ausführen -> "mmc" +
-  - Datei -> Snap-In hinzufügen -> Hinzufügen... +
-  - Zertifikate in der Liste auswählen -> "Eigener Benutzer" -> Ok +
-  - Doppelklick auf Zertifikate -> Rechtsklick auf "Vertrauenswürdige Stammzertifikatstellen" -> Alle Aufgaben -> Importieren +
-  - Das "cacert.pem" auswählen -> Weiter...+
  
-Und schon sollte das Zertifikat importiert seinEin Kinderspielquasi!+<file bash - > 
 +certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d rellig.minad.de,wasser.minad.de,paste.minad.de 
 +</file>
  
-===== Verwendung der Zertifikate auf dem Server ===== +Die erste Domain bestimmt den Pfad unter dem das Zertifikat gespeichert wird und ist gleichzeitig im Feld "Ausgestellt für" gespeichert.\\ 
-  * Speicherort der Zertifikate +Sollen nachträglich weitere alternative Namen eingefügt werden, so nimmt man die __exakt gleiche__ Liste wie beim ausstellen und fügt den neuen Namen ein. Der certbot sollte nun fragen, ob das bestehende Zertifikat erweitert werden soll. Am Besten mit //--dry-run// testen.\\
-  * Unterschied der Zertifikate+
  
 +Zum Überblick [[ssl_cert_list|hier eine Liste unserer Zertifikate inkl. der Domains für die sie gelten]].
  
-==== lighttpd ====+===== Automatisches Verlängern =====
  
-==== Postfix/dovecot ====+Das automatische renewal funktioniert über zwei Systemd-Units inkl. Timer, und ein Skript dass die Zertifikate für lighty zusammenbaut.
  
 +==== certbot ====
  
 +<file bash certbot-renew.service>
 +[Unit]
 +Description=Call certbot to renew all certificates
 +After=network.target
  
 +[Service]
 +User=root
 +Type=oneshot
 +ExecStart=/usr/bin/certbot renew
 +</file>
  
 +<file bash certbot-renew.timer>
 +[Unit]
 +Description=Timer for the sslscript - currently daily
  
 +[Timer]
 +OnCalendar=Wed *-*-* 10:07:00
  
 +[Install]
 +WantedBy=timer.target
 +</file>
  
 +==== sslscript ====
  
 +Das Skript dass das für den lighty zusammenpastet und kopiert siehe [[https://gitlab.minad.de/brot/sslscript|das sslscript Gitlab repo]].
  
 +<file bash sslscript.service>
 +[Unit]
 +Description=Check if there are renewed SSL-Certs and convert them for lighty
 +After=network.target
  
 +[Service]
 +User=root
 +Type=oneshot
 +ExecStart=/root/sslscript/sslscript.sh
 +</file>
 +
 +<file bash sslscript.timer>
 +[Unit]
 +Description=Timer for the sslscript - currently daily
 +
 +[Timer]
 +OnCalendar=Tue *-*-* 10:07:00
 +
 +[Install]
 +WantedBy=timer.target
 +</file>
  
  • ssl-certs.txt
  • Last modified: 2016/10/28 13:12
  • by rellig