ssl-certs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
ssl-certs [2012/09/12 16:52]
brot [Windows]
ssl-certs [2016/10/28 13:12] (current)
rellig [Zertifikate mit alternativen Namen]
Line 1: Line 1:
 ====== Informationen über die minad.de SSL-Zertifkikate ====== ====== Informationen über die minad.de SSL-Zertifkikate ======
-minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.+minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. <del>Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.</del> Wie jeder vernünftige Mensch verwendet minad jetzt [[https://letsencrypt.org/|Let's Encrypt]].
  
-===== Import des CA-Zertifikats =====+===== Zertifikat Neuantrag =====
  
-Um den Warnungen über das Unbekannte Zertifikat aus dem Weg zu gehen, muss man dem CA-Zertifikat vertrauenDas macht man in dem man [[https://brot.minad.de/cacert.pem|Das CA-Zertifikat]] herunterläd (MD5: 4c934a186ea68f949758c4ccffa77f2d) und im Betriebssystem importiert+Neue Zertifikate müssen nur einmal beantragt werdenDafür hat sich folgender command etabliert:
  
-==== Linux ====+<file bash - > 
 +certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d brot.minad.de 
 +</file> 
 +   
 +Hinweis: Nachdem es ein Limit von 20 renews pro Domain pro Woche gibt (domain in dem fall minad.de oder grilldienstag.de ohne jeweilige sub), bietet es sich an Domains logisch zusammenzufassen.
  
-<nowiki> +Deswegen [[ssl_cert_list|hier eine Liste unserer Zertifikate inklder Domains für die sie gelten]].
-certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n minad -i cacert.pem +
-</nowiki> +
-==== Windows ==== +
-  - Start -> Ausführen -> "mmc" +
-  - Datei -> Snap-In hinzufügen -> Hinzufügen... +
-  - Zertifikate in der Liste auswählen -> "Eigener Benutzer" -> Ok +
-  - Doppelklick auf Zertifikate -> Rechtsklick auf "Vertrauenswürdige Stammzertifikatstellen" -> Alle Aufgaben -> Importieren +
-  - Das "cacert.pem" auswählen -> Weiter...+
  
-Und schon sollte das Zertifikat importiert seinEin Kinderspiel, quasi!+===== Zertifikate mit alternativen Namen ===== 
 +Ein Zertifikat mit alternativen Namen wird ähnlich ausgestellt wie ein Zertifikat für eine Domain. Weitere Domains werden einfach Komma-getrennt an die Option //-d// angehängt. Maximal 100 Domains können in einem Zertifikat gespeichert werden. Mit den 20 Domains pro Woche ergeben sich so 2000 geschützte Seiten.
  
-==== Android ====+<file bash - > 
 +certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d rellig.minad.de,wasser.minad.de,paste.minad.de 
 +</file>
  
-Android erwartet ein anderes Zertifikatsformat, das man mit+Die erste Domain bestimmt den Pfad unter dem das Zertifikat gespeichert wird und ist gleichzeitig im Feld "Ausgestellt für" gespeichert.\\ 
 +Sollen nachträglich weitere alternative Namen eingefügt werden, so nimmt man die __exakt gleiche__ Liste wie beim ausstellen und fügt den neuen Namen ein. Der certbot sollte nun fragenob das bestehende Zertifikat erweitert werden soll. Am Besten mit //--dry-run// testen.\\
  
-   openssl x509 -inform PEM -outform DER -in cacert.pem -out minad_cacert.crt+Zum Überblick [[ssl_cert_list|hier eine Liste unserer Zertifikate inklder Domains für die sie gelten]].
  
-Umwandeln könnte. Das wurde allerding schon erledigt und kann [[http://is.gd/vizlIJ| hier komfortabel heruntergeladen werden.]]  ( MD5SUM: e0413923296663efd62b6a0aa48582d7  minad_cacert.crt )+===== Automatisches Verlängern =====
  
-Danach je nach Version -  in den "Einstellungen" über "Sicherheit" auf "Von Speicher installieren" wählen. +Das automatische renewal funktioniert über zwei Systemd-Units inklTimer, und ein Skript dass die Zertifikate für lighty zusammenbaut.
-    +
-===== Verwendung der Zertifikate auf dem Server ===== +
-  * Speicherort der Zertifikate +
-  * Unterschied der Zertifikate+
  
 +==== certbot ====
  
-==== lighttpd ====+<file bash certbot-renew.service> 
 +[Unit] 
 +Description=Call certbot to renew all certificates 
 +After=network.target
  
-==== Postfix/dovecot ====+[Service] 
 +User=root 
 +Type=oneshot 
 +ExecStart=/usr/bin/certbot renew 
 +</file>
  
 +<file bash certbot-renew.timer>
 +[Unit]
 +Description=Timer for the sslscript - currently daily
  
 +[Timer]
 +OnCalendar=Wed *-*-* 10:07:00
  
 +[Install]
 +WantedBy=timer.target
 +</file>
  
 +==== sslscript ====
  
 +Das Skript dass das für den lighty zusammenpastet und kopiert siehe [[https://gitlab.minad.de/brot/sslscript|das sslscript Gitlab repo]].
  
 +<file bash sslscript.service>
 +[Unit]
 +Description=Check if there are renewed SSL-Certs and convert them for lighty
 +After=network.target
  
 +[Service]
 +User=root
 +Type=oneshot
 +ExecStart=/root/sslscript/sslscript.sh
 +</file>
  
 +<file bash sslscript.timer>
 +[Unit]
 +Description=Timer for the sslscript - currently daily
  
 +[Timer]
 +OnCalendar=Tue *-*-* 10:07:00
  
 +[Install]
 +WantedBy=timer.target
 +</file>
  
  • ssl-certs.1347468773.txt.gz
  • Last modified: 2012/09/12 16:52
  • by brot