ssl-certs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
Last revisionBoth sides next revision
ssl-certs [2012/09/12 16:52] – [Windows] brotssl-certs [2016/10/28 13:09] rellig
Line 1: Line 1:
 ====== Informationen über die minad.de SSL-Zertifkikate ====== ====== Informationen über die minad.de SSL-Zertifkikate ======
-minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.+minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. <del>Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.</del> Wie jeder vernünftige Mensch verwendet minad jetzt [[https://letsencrypt.org/|Let's Encrypt]].
  
-===== Import des CA-Zertifikats =====+===== Zertifikat Neuantrag =====
  
-Um den Warnungen über das Unbekannte Zertifikat aus dem Weg zu gehen, muss man dem CA-Zertifikat vertrauenDas macht man in dem man [[https://brot.minad.de/cacert.pem|Das CA-Zertifikat]] herunterläd (MD5: 4c934a186ea68f949758c4ccffa77f2d) und im Betriebssystem importiert+Neue Zertifikate müssen nur einmal beantragt werdenDafür hat sich folgender command etabliert:
  
-==== Linux ====+<file bash - > 
 +certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d brot.minad.de 
 +</file> 
 +   
 +Hinweis: Nachdem es ein Limit von 20 renews pro Domain pro Woche gibt (domain in dem fall minad.de oder grilldienstag.de ohne jeweilige sub), bietet es sich an Domains logisch zusammenzufassen.
  
-<nowiki> +Deswegen [[ssl_cert_list|hier eine Liste unserer Zertifikate inklder Domains für die sie gelten]].
-certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n minad -i cacert.pem +
-</nowiki> +
-==== Windows ==== +
-  - Start -> Ausführen -> "mmc" +
-  - Datei -> Snap-In hinzufügen -> Hinzufügen... +
-  - Zertifikate in der Liste auswählen -> "Eigener Benutzer" -> Ok +
-  - Doppelklick auf Zertifikate -> Rechtsklick auf "Vertrauenswürdige Stammzertifikatstellen" -> Alle Aufgaben -> Importieren +
-  - Das "cacert.pem" auswählen -> Weiter...+
  
-Und schon sollte das Zertifikat importiert seinEin Kinderspiel, quasi!+===== Zertifikate mit alternativen Namen ===== 
 +Ein Zertifikat mit alternativen Namen wird ähnlich ausgestellt wie ein Zertifikat für eine Domain. Weitere Domains werden einfach Komma-getrennt an die Option //-d// angehängt.
  
-==== Android ====+<file bash - > 
 +certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d rellig.minad.de,wasser.minad.de,paste.minad.de 
 +</file>
  
-Android erwartet ein anderes Zertifikatsformat, das man mit+Die erste Domain bestimmt den Pfad unter dem das Zertifikat gespeichert wird und ist gleichzeitig im Feld "Ausgestellt für" gespeichert.\\ 
 +Sollen nachträglich weitere alternative Namen eingefügt werden, so nimmt man die __exakt gleiche__ Liste wie beim ausstellen und fügt den neuen Namen ein. Der certbot sollte nun fragenob das bestehende Zertifikat erweitert werden soll. Am Besten mit //--dry-run// testen.\\
  
-   openssl x509 -inform PEM -outform DER -in cacert.pem -out minad_cacert.crt+Zum Überblick [[ssl_cert_list|hier eine Liste unserer Zertifikate inklder Domains für die sie gelten]].
  
-Umwandeln könnte. Das wurde allerding schon erledigt und kann [[http://is.gd/vizlIJ| hier komfortabel heruntergeladen werden.]]  ( MD5SUM: e0413923296663efd62b6a0aa48582d7  minad_cacert.crt )+===== Automatisches Verlängern =====
  
-Danach je nach Version -  in den "Einstellungen" über "Sicherheit" auf "Von Speicher installieren" wählen. +Das automatische renewal funktioniert über zwei Systemd-Units inklTimer, und ein Skript dass die Zertifikate für lighty zusammenbaut.
-    +
-===== Verwendung der Zertifikate auf dem Server ===== +
-  * Speicherort der Zertifikate +
-  * Unterschied der Zertifikate+
  
 +==== certbot ====
  
-==== lighttpd ====+<file bash certbot-renew.service> 
 +[Unit] 
 +Description=Call certbot to renew all certificates 
 +After=network.target
  
-==== Postfix/dovecot ====+[Service] 
 +User=root 
 +Type=oneshot 
 +ExecStart=/usr/bin/certbot renew 
 +</file>
  
 +<file bash certbot-renew.timer>
 +[Unit]
 +Description=Timer for the sslscript - currently daily
  
 +[Timer]
 +OnCalendar=Wed *-*-* 10:07:00
  
 +[Install]
 +WantedBy=timer.target
 +</file>
  
 +==== sslscript ====
  
 +Das Skript dass das für den lighty zusammenpastet und kopiert siehe [[https://gitlab.minad.de/brot/sslscript|das sslscript Gitlab repo]].
  
 +<file bash sslscript.service>
 +[Unit]
 +Description=Check if there are renewed SSL-Certs and convert them for lighty
 +After=network.target
  
 +[Service]
 +User=root
 +Type=oneshot
 +ExecStart=/root/sslscript/sslscript.sh
 +</file>
  
 +<file bash sslscript.timer>
 +[Unit]
 +Description=Timer for the sslscript - currently daily
  
 +[Timer]
 +OnCalendar=Tue *-*-* 10:07:00
  
 +[Install]
 +WantedBy=timer.target
 +</file>
  
  • ssl-certs.txt
  • Last modified: 2016/10/28 13:12
  • by rellig