Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:server-zertifikate [2024/09/04 18:07] – [Manuelle Ausstellung über Webformular] Conny Marcus Rasch
+++ zertifikate:pki:server-zertifikate [2024/09/25 21:42] (aktuell) – [Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN]] Conny Marcus Rasch
@@ Zeile 6: / Zeile 6: @@
 <note important>Es existiert **kein** plausibler Grund, einen produktiven Dienst an der Hochschule Schmalkalden zu betreiben, der für seine Transportverschlüsselung das Hinzufügen von Zertifikatsausnahmen benötigt! Dies stellt vor allem ein Sicherheitsrisiko für die Nutzer dar! Die Hochschule Schmalkalden besitzt die nötige Infrastruktur, um solche Risiken **vollständig** zu vermeiden! Sofern Sie noch derartige Dienste betreiben, statten Sie diese bitte umgehend mit ordentlichen Zertifikaten aus oder kontaktieren Sie das Rechenzentrum unter [[pki@hs-schmalkalden.de]], falls Ihnen die dazu nötigen Fachkenntnisse fehlen!</note>
+<note tip>[[https://ssl-config.mozilla.org|ssl-config.mozilla.org]] kann Ihnen eine zeitgemäße TLS-Serverkonfiguration generieren. Mit [[https://www.ssllabs.com/ssltest|www.ssllabs.com/ssltest]] können Sie eine vorhandene Konfiguration analysieren und auf Schwachstellen testen lassen.</note>
 ===== Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN] =====
@@ Zeile 12: / Zeile 14: @@
 Um ACME an der HSM verwenden zu können, benötigen Sie:
-  - Ihre Key-ID (KID) / Account-ID
+  - Ihre Key-ID (KID) / Account-ID (22 Zeichen)
-  - Ihren HMAC-Key
+  - Ihren HMAC-Key (86 Zeichen)
   - Die URL des ACME-Endpunktes vom Anbieter Sectigo: https://acme.sectigo.com/v2/GEANTOV
   - Es werden **keine** extern erreichbaren Ports benötigt!
@@ Zeile 85: / Zeile 87: @@
 == Subdomain-, Wildcard- & Multidomain-Zertifikate ==
-Grundsätzlich können ACME-Accounts für ihre zugewiesenen Domains auch Zertifikate für Subdomains inkl. Wildcard ausstellen lassen. Ein ACME-Account, dem bspw. ''dezernat42.hs-schmalkalden.de'' zugewiesen wurde, kann auch Zertifikate für ''%%ftp.dezernat42.hs-schmalkalden.de%%'' oder ''*.dezernat42.hs-schmalkalden.de'' anfordern.
+Grundsätzlich können ACME-Accounts für ihre zugewiesenen Domains auch Zertifikate für Subdomains beliebiger Tiefe inkl. Wildcard ausstellen lassen. Ein ACME-Account, dem bspw. ''dezernat42.hs-schmalkalden.de'' zugewiesen wurde, kann auch Zertifikate für ''%%ftp.dezernat42.hs-schmalkalden.de%%'', ''%%foo.bar.dezernat42.hs-schmalkalden.de%%'' oder ''*.dezernat42.hs-schmalkalden.de'' anfordern.
 Um Multidomain-Zertifikate ausstellen zu lassen, genügt es, den Domain-Parameter ''-d'' mehrfach beim Aufruf zu verwenden. Zu beachten ist, dass das erzeugte Zertifikat lokal auf dem Endsystem unter der ersten Domain gespeichert wird und bei der Installation auch nur diese Domain angegeben werden muss.