Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:server-zertifikate:manuell [2026/04/10 07:18] – Carl Meffert
+++ zertifikate:pki:server-zertifikate:manuell [2026/04/10 11:30] (aktuell) – gelöscht Carl Meffert
@@ Zeile 1: / Zeile 1: @@
-===== Manuell [OLDSCHOOL]=====
-==== Serverzertifikat beantragen ====
-FIXME
-<note important>Anleitung wird derzeit aktualisiert in Arbeit</note>
-<note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[:zertifikate:pki:server-zertifikate|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note>
-<note> Serverzertifikate können von allen Mitarbeitern über Harica beantragt werden. Es obligt den Administratoren (pki@hs-schmalkalden.de) diese Anträgen auch zu genehmigen. Bitte bei neuen Serverzertifikaten den Administratoren vorab Bescheid geben, dann können Missverständnisse vermieden und der Vorgang beschläunigt werden.</note>
-  - Anmeldung bei [[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]] via [[zertifikate:pki:idp-anmeldung|Academic Login / IDP-Anmeldung]]
-  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
-  - Navigieren Sie im linken Menü zu "Server", um ein entsprechendes Zertifikat zu beantragen:\\ {{:zertifikate:pki:harica-server-01.png?600|}}
-  - Geben Sie die Daten des Servers für den Zertifikatsantrag ein:
-    * einen beschreibenden Namen wie den Servernamen oder/und die Funktion unter <fc #ed1c24>**1**</fc>
-    * geben Sie alle Domains unter <fc #ed1c24>**2**</fc> an, die für den Server zertifiziert werden sollen
-    * mit "+ Add more Domains" können Sie weitere Zeilen hinzufügen
-    * wählen Sie, ob die jeweilige Domain zusätzlich mit "www." im Zertifikat enthalten sein soll <fc #ed1c24>**3**</fc>
-    * wenn alle Domains eingetragen wurden, betätigen Sie "Next": \\ {{:zertifikate:pki:harica-server-02.png?400|}}
-  - Betätigen Sie "Select" bei der Option "For enterprise or organization(OV)": \\ {{:zertifikate:pki:harica-server-03.png?400|}}
-  - Bestätigen Sie Ihre Auswahl mit "Next": \\ {{:zertifikate:pki:harica-server-04.png?400|}}
-  - Es werden die Organizations Informationen angezeigt, bestätigen Sie mit "Next": \\ {{:zertifikate:pki:harica-server-05.png?400|}}
-  - Es werden ale Informationen zum Zertifikat zusammengefasst angezeigt.
-    * Bestätigen Sie die "Terms of Use", die "Certification Practices" und die "Data Orivacy Statements" von HARICA (//Sie können diese gerne lesen//)
-    * betätigen Sie "Next": \\ {{:zertifikate:pki:harica-server-06.png?400|}}
-  - Nun benötigen Sie eine Zertifikatsantrags-Datei (CSR):
-    * Sie können diese zusammen mit einem private Key von Harica generieren lassen --> <fc #ed1c24>**linke Spalte**</fc> \\ ODER
-    * Sie können den Inhalt einer vorhanden CSR-Datei Ihres Servers hochladen --> <fc #ed1c24>**rechte Spalte**</fc>
-^ Auto-generate                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     ^   ^ manually Submit                                                                                                                                                                                                                                                                                                                                                                                                                                                    ^
-| * Wählen Sie "Auto-generate CSR" <fc #ed1c24>**1**</fc> \\   * Wir empfehlen als "Algorithm" RSA mit einer "Key size" 4096 (bit) <fc #ed1c24>**2**</fc> \\   * Geben Sie ein Passwort für das Serverzertifikat ein <fc #ed1c24>**3**</fc> \\   * Die Administratoren und auch HARICA können das Passwort nicht einsehen oder zurücksetzen, daher gut merken \\   * Bestätigen Sie erneut die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA \\   * Betätigen Sie "Next"\\ {{:zertifikate:pki:harica-server-07-generate-csr.png?400}}  |   | * Erzeugen Sie sich eine CSR Datei für Ihren Server mittels OpenSSL: \\ **Empfohlen** mit Config Datei für mehrere Domains: \\  {{ :zertifikate:pki:request.txt | request.conf-Template}}  \\ \\Einfach: mit neuem Private-Key:    <code>openssl req -new -newkey rsa:4096 -nodes -keyout private.key -out server.csr </code>       \\ mit vorhandenem Private-Key:          <code>openssl req -new -key private.key -out server.csr</code>       \\  |
-| * Laden Sie den Private-Key herunter, welcher für das Serverzertifikat benötigt wird und legen Sie ihn sicher ab <fc #ed1c24>**1**</fc> \\   * <fc #ed1c24>**DIES IST DER EINZIGE MOMENT, BEI DEM SIE DIESEN KEY HERUNTERLDAEN KÖNNEN**</fc> \\   * haben Sie den Private Key heruntergeladen, Bestätigen Sie dies mit dem Haken bei <fc #ed1c24>**2**</fc> \\   * Beenden SIe den Vorgang mit "Go back to dashboard"\\ {{:zertifikate:pki:harica-server-08-generate-csr.png?400}}                                                                                                |   | * Wählen Sie "Submit CSR manually" <fc #ed1c24>**1**</fc>\\ * Fügen Sie in das Textfeld <fc #ed1c24>**2**</fc> den kompletten Inhalt der CSR-Datei Ihres Servers ein \\ * <fc #ed1c24>**3**</fc> Bestätigen Sie erneut die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA \\ * Betätigen Sie "Submit Request" \\ {{:zertifikate:pki:harica-server-07-submit-csr.png?400}}                                              |
-. Der Antrag sollte nun bei den Administratoren eingegangen sein nach Bearbeitung Ihres Antrags erhalten Sie eine E-Mail von Harica. \\
-. Sie können Ihre Server-Zertifikatsanträge unter "Enterprise/SSL Requests" einsehen: Bild9
-==== Serverzertifikat herunterladen ===
-  - Wenn Ihr Zertifikats-Antrag genehmigt wurde erhalten Sie eine E-Mail
-  - Anmeldung bei [[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]] via [[zertifikate:pki:idp-anmeldung|Academic Login / IDP-Anmeldung]]
-  - In Ihem Dashboard sehen Sie Ihre Serverzertifikate chronologisch sortiert
-  - Betätigen Sie den Download-Knopf
-  - Wählen Sie das benötigte Zerifikatsformat/Inhalt aus:
-    * PEM --> Das Serverzertifikat einzeln (wenn dies einzeln benötigt wird, weil die CA in einem separatem File gespeichert wird)
-    * PEM (bundle) --> Das Serverzertifikat mit CA-Zertifikatskette (wenn das Zertifikat und die Zertifikatskette in einer Datei benötigt wird / die Zertifikatskette aktualisiert werden muss)
-    * PEM (root-CA) --> Das Serverzertifikat mit rootCA-Zertifikatskette (wenn das Zertifikat und die rootCA benötigt wird / die rootCA aktualisert werden muss)
-    * [...] weitere
-  - Die Zertifikats-Datei(-en) müssen nun auf den uzgehörigen Server abgelegt werden
-==== Serverzertifikat einbinden====
-=== Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL ===
-Ein großer Anteil an Serversoftware (u.A. Nginx, Apache, ...) erwartet TLS-Zertifiakte im [[https://de.wikipedia.org/wiki/Privacy_Enhanced_Mail|PEM]]- und nicht im [[https://de.wikipedia.org/wiki/Public-Key_Cryptography_Standards|PKCS#12]]-Format. Die über das Webformular im PKCS#12-Format ausgestellten Zertifikate müssen daher vorab konvertiert werden, um für diese Servertypen verwendbar zu sein. Hierfür bietet sich das [[https://www.openssl.org|OpenSSL-Toolkit]] an.
-  * Ausgangsbeispieldatei: ''cert.p12''
-  * **Fett** markierte Ausgaben benötigt man wahrscheinlich am häufigsten
-  * Der Ausgabedateiname ist __unterstrichen__
-  * Alle Dateinamen sind beispielhafte Empfehlungen
-^ Ausgabe                                                        ^ Befehl ^
-| **Nur Zertifikat**                                             | ''openssl pkcs12 -out __cert.pem__ -nokeys -clcerts -in cert.p12''|
-| **Nur privater Schlüssel mit Passwort**                        | ''openssl pkcs12 -out __cert.enc.key__ -nocerts -in cert.p12''|
-| **Nur privater Schlüssel ohne Passwort**                       | ''openssl pkcs12 -out __cert.key__ -nocerts -nodes -in cert.p12''|
-| Zertifikat und privater Schlüssel mit Passwort in einer Datei  | ''openssl pkcs12 -out __cert+key.enc.pem__ -clcerts -in cert.p12''|
-| Zertifikat und privater Schlüssel ohne Passwort in einer Datei | ''openssl pkcs12 -out __cert+key.pem__ -clcerts -nodes -in cert.p12''|
-| Nur CA-Zertifikate / Zertifikatskette                          | ''openssl pkcs12 -out __chain.pem__ -nokeys -cacerts -in cert.p12''|
-| **Zertifikat und CA-Zertifikate / komplette Zertifikatskette** | ''openssl pkcs12 -out __fullchain.pem__ -nokeys -in cert.p12''|
-| Alles mit Passwort in einer Datei                              | ''openssl pkcs12 -out __all.enc.pem__ -in cert.p12'' |
-| Alles ohne Passwort in einer Datei                             | ''openssl pkcs12 -out __all.pem__ -nodes -in cert.p12'' |
-=== Windows ===
-<note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-=== Apache ===
-<note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-=== Nginx ===
-<note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-=== Proxmox ===
-Offizielle Dokumentation: [[https://pve.proxmox.com/wiki/Certificate_Management]]
-== In der Konsole [EMPFOHLEN] ==
-  - Laden Sie Ihre .p12-Zertifikatsdatei (bspw. mit ''scp'' oder SFTP-Browser) auf Ihren Proxmox-Knoten nach ''/etc/pve/local'' hoch: ''scp _LOKALER_PFAD_IHRES_ZERTIFIKATS_.p12 root@_IHR_HOST_:/etc/pve/local/''
-  - Verbinden Sie sich über SSH mit dem Knoten oder melden Sie sich lokal an.
-  - Navigieren Sie nach ''/etc/pve/local'': ''cd /etc/pve/local''
-  - Exportieren Sie Ihr Zertifikat ins PEM-Format nach ''pveproxy-ssl.pem'': ''openssl pkcs12 -out pveproxy-ssl.pem -nokeys -clcerts -in *.p12''
-  - Exportieren Sie den privaten Schlüssel Ihres Zertifikats ins PEM-Format ohne Passwort nach ''pveproxy-ssl.key'': ''openssl pkcs12 -out pveproxy-ssl.key -nocerts -nodes -in *.p12''
-  - Starten Sie den Dienst ''pveproxy'' neu: ''systemctl restart pveproxy''
-  - Löschen Sie ggf. die hochgeladene .p12-Datei: ''rm *.p12''
-== WebGUI ==
-<note important>Da im Vergleich zur Einrichtung über die Konsole noch zusätzliche Schritte nötig sind, der Prozess aber ansonsten komplett identisch ist, wird dieser Einrichtungsweg nicht empfohlen.</note>
-  - Exportieren Sie zuerst von Ihrer .p12-Zertifikatsdatei das **Zertifikat** und den zugehörigen **privaten Schlüssel ohne Passwort** jeweils im PEM-Format. Dies ist nahezu mit der Einrichtung in der Konsole identisch, mit Ausnahme des letzten Schritts.
-  - Navigieren Sie im Proxmox Web GUI bei den Einstellungen Ihres Knotens (<fc #ff0000>**1**</fc>) zu ''System/Certificates'' (<fc #ff0000>**2**</fc>) und klicken Sie dort auf ''Upload Custom Certificate'' (<fc #ff0000>**3**</fc>). {{ zertifikate:pki:server-pve-1.png?direct&600 |}}
-  - Fügen Sie im Folgedialog als ''Private Key'' (<fc #ff0000>**1**</fc>) den zuvor exportierten privaten Schlüssel und als ''Certifiate Chain'' (<fc #ff0000>**2**</fc>) Ihr Zertifikat ein. Sie können entweder die Dateiinhalte in das entsprechende Textfeld einfügen (<fc #B5E61D>**3**</fc>) oder die Dateien hochladen (<fc #FF7F27>**4**</fc>). Im Gegensatz zur Einrichtung über die Konsole müssen Sie in beiden Feldern abschließend noch einige Zusatzzeilen (%%"Bag Attributes"%%) oberhalb der Zeilen ''-----BEGIN ...'' entfernen, die zur Ablehnung Ihrer Eingaben führen würden (<fc #A349A4>**5**</fc>). Löschen Sie keinesfalls andere Zeilen! Bestätigen Sie zum Schluss den Dialog mit ''Upload'' (<fc #ff0000>**6**</fc>). {{ zertifikate:pki:server-pve-2.png?direct&600 |}}
-  - Nun sollte folgende Bestätigungsmeldung ''%%API server will be restarted to use new certificates, please reload web-interface!%%'' erscheinen. Befolgen Sie diese und laden Sie den aktuellen Browser-Tab neu: {{ zertifikate:pki:server-pve-3.png?direct&600 |}}
-  - Der Zugriff auf das PVE Web GUI über HTTPS sollte ab jetzt ohne Zertifikatsausnahme möglich sein. Entfernen Sie daher etwaige Ausnahmen!
-  - Sie können die Zertifikatseinrichtung abschließend unter ''System/Certificates'' (<fc #ff0000>**1**</fc>) in der Übersicht prüfen (<fc #ff0000>**2**</fc>): {{ zertifikate:pki:server-pve-4.png?direct&600 |}}