Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:server-zertifikate [2024/07/29 14:28] – ↷ Seite von sys:zertifikate:public:pki:server-zertifikate nach zertifikate:pki:server-zertifikate verschoben Conny Marcus Rasch
+++ zertifikate:pki:server-zertifikate [2024/09/25 21:42] (aktuell) – [Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN]] Conny Marcus Rasch
@@ Zeile 6: / Zeile 6: @@
 <note important>Es existiert **kein** plausibler Grund, einen produktiven Dienst an der Hochschule Schmalkalden zu betreiben, der für seine Transportverschlüsselung das Hinzufügen von Zertifikatsausnahmen benötigt! Dies stellt vor allem ein Sicherheitsrisiko für die Nutzer dar! Die Hochschule Schmalkalden besitzt die nötige Infrastruktur, um solche Risiken **vollständig** zu vermeiden! Sofern Sie noch derartige Dienste betreiben, statten Sie diese bitte umgehend mit ordentlichen Zertifikaten aus oder kontaktieren Sie das Rechenzentrum unter [[pki@hs-schmalkalden.de]], falls Ihnen die dazu nötigen Fachkenntnisse fehlen!</note>
+<note tip>[[https://ssl-config.mozilla.org|ssl-config.mozilla.org]] kann Ihnen eine zeitgemäße TLS-Serverkonfiguration generieren. Mit [[https://www.ssllabs.com/ssltest|www.ssllabs.com/ssltest]] können Sie eine vorhandene Konfiguration analysieren und auf Schwachstellen testen lassen.</note>
 ===== Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN] =====
@@ Zeile 12: / Zeile 14: @@
 Um ACME an der HSM verwenden zu können, benötigen Sie:
-  - Ihre Key-ID (KID) / Account-ID
+  - Ihre Key-ID (KID) / Account-ID (22 Zeichen)
-  - Ihren HMAC-Key
+  - Ihren HMAC-Key (86 Zeichen)
   - Die URL des ACME-Endpunktes vom Anbieter Sectigo: https://acme.sectigo.com/v2/GEANTOV
   - Es werden **keine** extern erreichbaren Ports benötigt!
@@ Zeile 28: / Zeile 30: @@
   - **acme.sh automatisch installieren:** ''%%curl https://get.acme.sh | sh%%'' oder ''%%wget -O - https://get.acme.sh | sh%%'' (Die manuelle Installation ist [[#manuelle_installation|unten]] dokumentiert)
+  - **acme.sh-Alias aktualisieren/setzen:** Erneut einloggen oder ''.profile'' bzw. ''.bashrc'' (Je nach Distribution) neuladen: ''. ~/.profile'' oder ''. ~/.bashrc''
   - **Standard-CA auf Sectigo setzen:** ''%%acme.sh --set-default-ca --server acme.sectigo.com/v2/GEANTOV%%'' (Falls bei der Installation eine Warnung bzgl. des Pakets ''socat'' angezeigt wird, kann diese ignoriert werden, da dieses nur relevant für den in dieser Anleitung nicht verwendeten Standalone-Modus ist.)
   - **ACME-Account registrieren:** ''%%acme.sh --register-account --eab-kid %%**_EIGENE_KEY_ID_** %%--%%eab-hmac-key **_EIGENER_HMAC_KEY_**'' (Dieser Schritt kann einige Sekunden dauern und evtl. beim ersten Versuch fehlschlagen)
@@ Zeile 48: / Zeile 51: @@
 <code bash beispiel.sh>
 curl https://get.acme.sh | sh
+. ~/.profile
 acme.sh --set-default-ca --server acme.sectigo.com/v2/GEANTOV
 acme.sh --register-account --eab-kid GFYlXahAbkl9aLbqmq8icf --eab-hmac-key aJWvKJMVTzd1gQfSMbEhLKAKq5xmFI9WCPkM2u24M6IaVaR7dbzSRmXFRPuccdeAPEslOeBIswakMPiaPeOibB
@@ Zeile 83: / Zeile 87: @@
 == Subdomain-, Wildcard- & Multidomain-Zertifikate ==
-Grundsätzlich können ACME-Accounts für ihre zugewiesenen Domains auch Zertifikate für Subdomains inkl. Wildcard ausstellen lassen. Ein ACME-Account, dem bspw. ''dezernat42.hs-schmalkalden.de'' zugewiesen wurde, kann auch Zertifikate für ''ftp.dezernat42.hs-schmalkalden.de'' oder ''*.dezernat42.hs-schmalkalden.de'' anfordern.
+Grundsätzlich können ACME-Accounts für ihre zugewiesenen Domains auch Zertifikate für Subdomains beliebiger Tiefe inkl. Wildcard ausstellen lassen. Ein ACME-Account, dem bspw. ''dezernat42.hs-schmalkalden.de'' zugewiesen wurde, kann auch Zertifikate für ''%%ftp.dezernat42.hs-schmalkalden.de%%'', ''%%foo.bar.dezernat42.hs-schmalkalden.de%%'' oder ''*.dezernat42.hs-schmalkalden.de'' anfordern.
 Um Multidomain-Zertifikate ausstellen zu lassen, genügt es, den Domain-Parameter ''-d'' mehrfach beim Aufruf zu verwenden. Zu beachten ist, dass das erzeugte Zertifikat lokal auf dem Endsystem unter der ersten Domain gespeichert wird und bei der Installation auch nur diese Domain angegeben werden muss.
@@ Zeile 89: / Zeile 93: @@
 In Kombination bedeutet dies, dass der Befehl ''%%acme.sh --issue -d dezernat42.hs-schmalkalden.de -d *.dezernat42.hs-schmalkalden.de -w /dev/null%%'' ein Multidomain-Zertifikat erzeugt, welches für die Hauptdomain und alle seine Subdomains gültig ist.
-== Zertifikatsinstallation mit CA-Zertifikat bzw. Fullchain ==
+== Zertifikatsinstallation mit CA-Zertifikat oder Fullchain ==
 Beim Installationbefehl können als Pfadangaben neben dem Zertifikat und dem Schlüssel selber außerdem noch das CA-Zertifikat und/oder die komplette Kette angegeben werden:
   - **CA-Zertifikat:** ''acme.sh -i -d **_DOMAIN_** %%--%%cert-file **_ABSOLUTER_PFAD_ZUM_ZERTIFIKAT_** %%--%%key-file **_ABSOLUTER_PFAD_ZUM_PRIVATE_KEY_** %%--reloadcmd "%%**_BEFEHL_ZUM_NEUSTART_DES_DIENSTES_**%%" --%%ca-file **_ABSOLUTER_PFAD_ZUM_CA-ZERTIFIKAT_**''
-  - **Fullchain:** ''acme.sh -i -d **_DOMAIN_** %%--%%cert-file **_ABSOLUTER_PFAD_ZUM_ZERTIFIKAT_** %%--%%key-file **_ABSOLUTER_PFAD_ZUM_PRIVATE_KEY_** %%--reloadcmd "%%**_BEFEHL_ZUM_NEUSTART_DES_DIENSTES_**%%" --%%fullchain-file **_ABSOLUTER_PFAD_ZUR_FULLCHAIN_**''
+  - **Fullchain (Nötig bei nginx):** ''acme.sh -i -d **_DOMAIN_** %%--%%cert-file **_ABSOLUTER_PFAD_ZUM_ZERTIFIKAT_** %%--%%key-file **_ABSOLUTER_PFAD_ZUM_PRIVATE_KEY_** %%--reloadcmd "%%**_BEFEHL_ZUM_NEUSTART_DES_DIENSTES_**%%" --%%fullchain-file **_ABSOLUTER_PFAD_ZUR_FULLCHAIN_**''
 ==== Windows: win-acme ====
@@ Zeile 191: / Zeile 195: @@
 Beachten Sie, dass im Gegensatz zum obrigen Beispiel der Parameter ''%%--certificatestore%%'' nicht vorhanden ist (Ansonsten wird das Zertifikat auch im Zertifikatsspeicher der ausstellenden lokalen Maschine abgelegt) und 4 anstatt nur einem //Scriptparameter// übergeben werden.
+==== Proxmox ====
+Proxmox bietet einen eingebauten ACME-Client, welcher ab Version 8.2 auch offiziell benutzerdefinierte Dienstanbieter unterstützt. Für Proxmox-Instanzen mit Version < 8 kann acme.sh anhand der [[#linuxunixacmesh|Linux-Anleitung]] genutzt werden, da acme.sh grundsätzlich auch für Proxmox funktioniert. Proxmox-Instanzen mit Version >= 8, aber < 8.2 können einfach über Upgrade auf Version >= 8.2 gebracht werden, um dieses Feature nutzen zu können. Folgende Schritte sind für die Einrichtung des PVE-ACME-Clients für Sectigo nötig:
+  - Wählen Sie in Ihrem Proxmox-Knoten Ihr ''Datacenter'' bzw. ''Rechenzentrum'' (<fc #ff0000>**1**</fc>) aus und scrollen Sie dort im Menü nach unten bis zu ''SDN / ACME'' (<fc #ff0000>**2**</fc>). (SDN müssen Sie ggf. ausklappen). Klicken Sie dort unter ''Accounts'' auf den Button ''Add'' (<fc #ff0000>**1**</fc>) {{ :zertifikate:pki:pve-acme-1.png?direct&600 |}}
+  -
+    - Es öffnet sich ein Dialog ''Register Account'', in dem Sie Ihren Account zuerst benennen sollten (<fc #ff0000>**1**</fc>). Dies ist grundsätzlich optional, erleichtert aber später die Identifikation des Accounts insbesondere, wenn Sie mehrere Accounts konfigurieren. Im Beispiel wurde der Account ''Sectigo'' genannt.
+    - Tragen Sie eine E-Mail-Adresse ein, die für Benachrichtigungen bspw. bei Zertifikatsausstellungen im Zusammenhang mit diesem Account dient  (<fc #ff0000>**2**</fc>).
+    - Wählen Sie ''Custom'' (Eigener Dienstanbieter) bei ''ACME Directory'' (<fc #ff0000>**3**</fc>)
+    - Als ''URL'' tragen Sie ''https://acme.sectigo.com/v2/GEANTOV'' ein (<fc #ff0000>**4**</fc>) und laden Sectigos Nutzungsbedingungen / Terms of Service (TOS), indem Sie auf ''Query URL'' klicken (<fc #ff0000>**5**</fc>).
+    - Lesen und akzeptieren (<fc #ff0000>**6**</fc>) Sie diese Nutzungsbedingungen.
+    - Fügen Sie Ihre Account-Zugangsdaten ''KID'' bei ''EAB Key ID'' (<fc #ff0000>**7**</fc>) und Ihren ''HMAC-Key'' bei ''EAB Key'' (<fc #ff0000>**8**</fc>) ein.
+    - Bestätigen Sie den Dialog mit dem Button ''Register'' (<fc #ff0000>**9**</fc>) {{ :zertifikate:pki:pve-acme-2.png?direct&600 |}}
+  - Anschließend wird Ihnen ein Fenster mit dem Prozessstatus angezeigt. Dieses Fenster können Sie bei Abschluss oben rechts schließen (<fc #ff0000>**1**</fc>). {{ :zertifikate:pki:pve-acme-3.png?direct&600 |}}
+  -
+    - Nun wählen Sie den Knoten aus, dem Sie diesen Account zuweisen wollen (<fc #ff0000>**1**</fc>).
+    - Navigieren Sie dort zum Menü ''System / Certifiactes'' (<fc #ff0000>**2**</fc>). (System müssen Sie ggf. ausklappen)
+    - Wählen Sie den soeben erstellten Account bei ''Using Account'' aus (<fc #ff0000>**3**</fc>) und bestätigen Sie Ihre Auswahl mit ''Apply'' (<fc #ff0000>**4**</fc>).
+    - Fügen Sie nun mit dem Button ''Add'' eine Domain hinzu, für die dieser Account ein Zertifikat ausstellen soll (<fc #ff0000>**5**</fc>). {{ :zertifikate:pki:pve-acme-4.png?direct&600 |}}
+  - Es öffnet sich der Dialog ''Create: Domain''.
+    - Belassen Sie dort den ''Challenge Type'' bei ''HTTP'' (<fc #ff0000>**1**</fc>).
+    - Fügen Sie den ''FQDN'' Ihres Knotens bei ''Domain'' hinzu (<fc #ff0000>**2**</fc>).
+    - Schließen Sie den Dialog mit dem Button ''Create'' ab (<fc #ff0000>**3**</fc>). {{ :zertifikate:pki:pve-acme-5.png?direct&600 |}}
+  -
+    - Wie Sie jetzt zur Bestätigung sehen können sollten, wurde die Domain erfolgreich hinzugefügt (<fc #ff0000>**1**</fc>).
+    - Sie können weitere Domains hinzufügen, indem Sie über den Button ''Add'' den vorherigen Schritt beliebig oft wiederholen (<fc #ff0000>**2**</fc>).
+    - Wenn Sie alle gewünschten Domains hinzugefügt haben, beantragen Sie Ihre Zertifikate erstmalig manuell mit dem Button ''Order Certificates Now''. Später wird lt. [[https://pve.proxmox.com/pve-docs/pve-admin-guide.pdf|PVE-Admin-Guide Abschnitt 3.12.7: Automatic renewal of ACME certificates]] über den Dienst ''pve-daily-update'' das Zertifikat bei Bedarf automatisch erneuert.
+    - Nach Abschluss des Ausstellungsprozesses wird das Web-GUI neugestartet. {{ :zertifikate:pki:pve-acme-6.png?direct&600 |}}
+  - Sie sollten nun zur Bestätigung Ihr ausgestelltes Zertifikat in der darüberliegenden Übersicht unter der Datei ''pveproxy-ssl.pem'' finden. {{ :zertifikate:pki:pve-acme-7.png?direct&800 |}}
+  - Vergessen Sie als Abschluss nicht, etwaige Zertifikatsausnahmen zu entfernen!
 ===== Manuelle Ausstellung über Webformular =====
@@ Zeile 197: / Zeile 233: @@
 <note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[#automatische_ausstellung_und_einrichtung_ueber_acme_empfohlen|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note>
-  - Falls Sie berechtigt sind, für andere Verwaltungsbereiche Serverzertifikate zu beantragen, müssen Sie als ersten Schritt im Webformular den Account des gewünschten Bereichs (<fc #ff0000>**1**</fc>) auswählen und mit ''Next'' bestätigen (<fc #ff0000>**2**</fc>). Sollten Sie nur zur Nutzung eines einzelnen Accounts berechtigt sein, wird dieser automatisch ausgewählt und diese Rückfrage übersprungen. Kontaktieren Sie bitte das Rechenzentrum über [[pki@hs-schmalkalden.de]], falls Ihnen ein benötigter Account nicht zur Auswahl steht. {{ :sys:zertifikate:server-1.png?direct&400 |}}
+<note warning>Wenn Sie über dieses Webformular ein Zertifikat für eine Domain ausstellen lassen möchten, welche keine Subdomain Ihres Bereichs ist, muss Ihr Enrollment-Account vorab dafür freigeschaltet werden. Kontaktieren Sie hierfür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls bricht der Prozess beim Absenden des Formulars mit der Fehlermeldung ''This domain '<hostname>.hs-schmalkalden.de' is not available for enrollment. Please contact administrator.'' ab. Als Beispiel ist der Enrollment-Account ''Rechenzentrum'' berechtigt, Zertifikate für den FQDN ''webserver.rz.hs-schmalkalden.de'' aber **nicht** für ''webserver.hs-schmalkalden.de'' auszustellen.</note>
+  - Falls Sie berechtigt sind, für andere Verwaltungsbereiche Serverzertifikate zu beantragen, müssen Sie als ersten Schritt im Webformular den Account des gewünschten Bereichs (<fc #ff0000>**1**</fc>) auswählen und mit ''Next'' bestätigen (<fc #ff0000>**2**</fc>). Sollten Sie nur zur Nutzung eines einzelnen Accounts berechtigt sein, wird dieser automatisch ausgewählt und diese Rückfrage übersprungen. Kontaktieren Sie bitte das Rechenzentrum über [[pki@hs-schmalkalden.de]], falls Ihnen ein benötigter Account nicht zur Auswahl steht. {{ zertifikate:server-1.png?direct&400 |}}
   - Sie sollten sich nun im eigentlichen Formular befinden:
-    - Dort müssen Sie für Ihr Zertifikat ein ''Profil'' (Certificate Profile) (<fc #ff0000>**1**</fc>) auswählen, welches im Wesentlichen über weitere Auswahlmöglichkeiten bestimmt.
+    - Dort müssen Sie das ''Profil'' (Certificate Profile) (<fc #ff0000>**1**</fc>) für Ihr Zertifikat definieren, welches im Wesentlichen über seine Eigenschaften und weitere Auswahlmöglichkeiten bestimmt. I.d.R. ist aber das Profil ''OV Multi-Domain'' fest vorgegeben, da es am flexibelsten ist.
     - Die ''Gültigkeit'' des Zertifikats (Certificate Term) ist durch Sectico immer auf 1 Jahr festgelegt (<fc #ff0000>**2**</fc>).
     - Als ''Schlüsseltyp'' (Key Type) sollten Sie mindestens ''RSA - 4096'' oder ''EC - P-256'' auswählen (<fc #ff0000>**3**</fc>), um zukunftssicher zu sein. Dies bestimmt vor allem die Resistenz der Verschlüsselung gegen Brute-Force-Angriffe.
     - Bei ''Common Name'' (<fc #ff0000>**4**</fc>) tragen Sie den vollständigen Domainnamen (FQDN) Ihres Dienstes ein, der mit einem Zertifikat ausgestattet werden soll.
     - Falls Ihr Dienst über mehrere FQDNs erreichbar ist, können diese für die Profile ''OV Multi-Domain'' und ''Unified Communications Certificate'' als ''Subject Alternative Names'' hinzugefügt werden (<fc #ff0000>**5**</fc>).
-    - Wenn Ihr Zertifikat **Wildcard-Domains** beinhalten soll, können Sie diese mit einem ''*'' am Anfang vorzugsweise bei ''Subject Alternative Names'' oder als ''Common Name'' angeben. Eine Wildcard gilt für **genau einen** Domain-Level! ''*.bereich.hs-schmalkalden.de'' ist daher bspw. für ''dienst-a.bereich.hs-schmalkalden.de'' oder ''dienst-b.bereich.hs-schmalkalden.de'', aber nicht für ''dienst-c.labor.bereich.hs-schmalkalden.de'' oder ''bereich.hs-schmalkalden.de'' gültig! Es empfiehlt sich daher meist, eine Wildcard-Domain immer zusammen mit der Haupt-Domain zu beantragen. Beachten Sie, dass Ihr Verwaltungsbereich ggf. (noch) nicht zur Ausstellung von Zertifikaten mit Wildcard berechtigt ist. Kontaktieren Sie daher bitte zur Freischaltung formlos das Rechenzentrum mit Ihrer Wunschdomain unter [[pki@hs-schmalkalden.de]].
+    - Wenn Ihr Zertifikat **Wildcard-Domains** beinhalten soll, können Sie diese mit einem ''*'' am Anfang vorzugsweise bei ''Subject Alternative Names'' oder als ''Common Name'' angeben. Eine Wildcard gilt für **genau einen** Domain-Level! ''*.bereich.hs-schmalkalden.de'' ist daher bspw. für ''dienst-a.bereich.hs-schmalkalden.de'' oder ''dienst-b.bereich.hs-schmalkalden.de'', aber nicht für ''dienst-c.labor.bereich.hs-schmalkalden.de'' oder ''bereich.hs-schmalkalden.de'' gültig! Es empfiehlt sich daher meist, eine Wildcard-Domain immer zusammen mit ihrer Über-Domain zu beantragen. Beachten Sie, dass Ihr Verwaltungsbereich ggf. (noch) nicht zur Ausstellung von Zertifikaten mit Wildcard berechtigt ist. Kontaktieren Sie daher bitte zur Freischaltung formlos das Rechenzentrum mit Ihrer Wunschdomain unter [[pki@hs-schmalkalden.de]].
     - Wenn Sie möchten, dass das ausgestellte Zertifikat außerdem einer oder mehreren weiteren (externen) Person(en) (bspw. systembetreuenden Studierenden) gesendet wird, können Sie ihre E-Mail-Adresse(n) bei ''External Requesters'' hinterlegen (<fc #ff0000>**6**</fc>).
     - Das Kommentarfeld (Comments) (<fc #ff0000>**7**</fc>) ist optional und dient nur zu Dokumentations- bzw. zu Beschreibungszwecken, falls für den aktuell ausgewählten Account Zertifikate ausschließlich manuell von Mitarbeitern des Rechenzentrums genehmigt werden.
     - Zur Prozessvereinfachung empfiehlt es sich ''Auto Renew'' zu aktivieren. Dies hat zur Folge, dass automatisch ein Nachfolgezertifikat beantragt und Ihnen nach der Genehmigung per E-Mail gesendet wird, sobald das Ablaufdatum des Zertifikats nur noch die darunter definierte Anzahl an Tagen (<fc #ff0000>**9**</fc>) entfernt ist.
-    - Bestätigen Sie Ihren Antrag mit ''Submit'' (<fc #ff0000>**10**</fc>). Nun sollten Sie innerhalb weniger Augenblicke eine Bestätigungs-Mail erhalten. Diese E-Mail enthält **nicht** den privaten Schlüssel! Der Download dieses privaten Schlüssels erfolgt in Kürze in Ihrem Browser. {{ :sys:zertifikate:server-2.png?direct&400 |}}
+    - Bestätigen Sie Ihren Antrag mit ''Submit'' (<fc #ff0000>**10**</fc>). Nun sollten Sie innerhalb weniger Augenblicke eine Bestätigungs-Mail erhalten. Diese E-Mail enthält **nicht** den privaten Schlüssel! Der Download dieses privaten Schlüssels erfolgt in Kürze in Ihrem Browser. {{ zertifikate:server-2.png?direct&400 |}}
   - Befolgen Sie daher den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht! {{ zertifikate:pki:server-3-dontclose.png?direct&600 |}}
   -