Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:server-zertifikate [2026/04/08 12:36] – Carl Meffert
+++ zertifikate:pki:server-zertifikate [2026/04/08 13:48] (aktuell) – [Serverzertifikat - Manuell [OLDSCHOOL]] Carl Meffert
@@ Zeile 1: / Zeile 1: @@
 [[zertifikate:pki|zurück]]
-FIXME
-<note warning>**ACHTUNG! Diese Seite befinden sich aktuell aufgrund des Dienstanbieterwechsels im Umbau. Alle Bereiche mit Bezug auf Sectigo sind größtenteils ungültig!**</note>
 ====== TLS- / SSL- / Serverzertifikate ======
@@ Zeile 13: / Zeile 10: @@
 <note tip>[[https://ssl-config.mozilla.org|ssl-config.mozilla.org]] kann Ihnen eine zeitgemäße TLS-Serverkonfiguration generieren. Mit [[https://www.ssllabs.com/ssltest|www.ssllabs.com/ssltest]] können Sie eine vorhandene Konfiguration analysieren und auf Schwachstellen testen lassen.</note>
-===== Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN] =====
+===== Automatisiert per ACME [EMPFOHLEN] =====
 Mithilfe eines [[https://de.wikipedia.org/wiki/Automatic_Certificate_Management_Environment|ACME]]-Clients können Serverzertifikate komfortabel **unbeaufsichtigt automatisch beantragt, abgeholt, installiert** und **erneuert** werden. Dies reduziert den Betreuungsaufwand und Fehleranfälligkeit des Endsystems enorm, da die Ersteinrichtung von Zertifikaten vereinfacht wird und anschließend auch kein regelmäßiger, manueller Eingriff mehr nötig ist.
@@ Zeile 73: / Zeile 70: @@
 <code bash>
-acme.sh --set-default-ca --server acme.sectigo.com/v2/GEANTOV
+acme.sh --set-default-ca --server https://acme-v02.harica.gr/acme/38669cf4-c987-a456-e123-af987db7f654/directory
 touch: cannot touch '/root/.acme.sh/account.conf': No such file or directory
@@ Zeile 81: / Zeile 78: @@
 ./acme.sh-3.0.7/acme.sh: 2322: cannot create /root/.acme.sh/account.conf: Directory nonexistent
 grep: /root/.acme.sh/account.conf: No such file or directory
-[Wed Apr 17 14:51:01 UTC 2024] Changed default CA to: acme.sectigo.com/v2/GEANTOV
+[Wed Apr 17 14:51:01 UTC 2024] Changed default CA to: https://acme-v02.harica.gr/acme/38669cf4-c987-a456-e123-af987db7f654/directory
 </code>
@@ Zeile 116: / Zeile 113: @@
   * Key-ID: ''GFYlXahAbkl9aLbqmq8icf''
   * HMAC-Key: ''aJWvKJMVTzd1gQfSMbEhLKAKq5xmFI9WCPkM2u24M6IaVaR7dbzSRmXFRPuccdeAPEslOeBIswakMPiaPeOibB''
-  * ACME-URL: ''acme.sectigo.com/v2/GEANTOV''
+  * ACME-Server-URL(Harica): ''%%https://acme-v02.harica.gr/acme/38669cf4-c987-a456-e123-af987db7f654/directory%%''
   * Domain: ''rdpserver.bereich.hs-schmalkalden.de''
   * Servertyp: RDP-Dienst (z.B. bei Terminalserver oder VM)
@@ Zeile 135: / Zeile 132: @@
   --accepttos `
   --certificatestore My `
-  --baseuri https://acme.sectigo.com/v2/GEANTOV/ `
+  --baseuri https://acme-v02.harica.gr/acme/38669cf4-c987-a456-e123-af987db7f654/directory `
   --eab-key-identifier GFYlXahAbkl9aLbqmq8icf `
   --eab-key aJWvKJMVTzd1gQfSMbEhLKAKq5xmFI9WCPkM2u24M6IaVaR7dbzSRmXFRPuccdeAPEslOeBIswakMPiaPeOibB `
@@ Zeile 191: / Zeile 188: @@
   --source manual `
   --accepttos `
-  --baseuri https://acme.sectigo.com/v2/GEANTOV/ `
+  --baseuri https://acme-v02.harica.gr/acme/38669cf4-c987-a456-e123-af987db7f654/directory `
   --eab-key-identifier GFYlXahAbkl9aLbqmq8icf `
   --eab-key aJWvKJMVTzd1gQfSMbEhLKAKq5xmFI9WCPkM2u24M6IaVaR7dbzSRmXFRPuccdeAPEslOeBIswakMPiaPeOibB `
@@ Zeile 203: / Zeile 200: @@
 ==== Proxmox ====
+FIXME
+<note important>
+Unter dem Zertifikatsanbieter Harica noch nicht getestet!
+Bei Proxmox gibt es zudem zurzeit keine Möglichkeit Drittanbieter über dei WEB-UI als ACME-Directory einzugeben. Die Anleitung ist daher eher theoretischer Natur.
+</note>
-Proxmox bietet einen eingebauten ACME-Client, welcher ab Version 8.2 auch offiziell benutzerdefinierte Dienstanbieter unterstützt. Für Proxmox-Instanzen mit Version < 8 kann acme.sh anhand der [[#linuxunixacmesh|Linux-Anleitung]] genutzt werden, da acme.sh grundsätzlich auch für Proxmox funktioniert. Proxmox-Instanzen mit Version >= 8, aber < 8.2 können einfach über Upgrade auf Version >= 8.2 gebracht werden, um dieses Feature nutzen zu können. Folgende Schritte sind für die Einrichtung des PVE-ACME-Clients für Sectigo nötig:
+Proxmox bietet einen eingebauten ACME-Client, welcher ab Version 8.2 auch offiziell benutzerdefinierte Dienstanbieter unterstützt. Für Proxmox-Instanzen mit Version < 8 kann acme.sh anhand der [[#linuxunixacmesh|Linux-Anleitung]] genutzt werden, da acme.sh grundsätzlich auch für Proxmox funktioniert. Proxmox-Instanzen mit Version >= 8, aber < 8.2 können einfach über Upgrade auf Version >= 8.2 gebracht werden, um dieses Feature nutzen zu können. Folgende Schritte sind für die Einrichtung des PVE-ACME-Clients nötig:
   - Wählen Sie in Ihrem Proxmox-Knoten Ihr ''Datacenter'' bzw. ''Rechenzentrum'' (<fc #ff0000>**1**</fc>) aus und scrollen Sie dort im Menü nach unten bis zu ''SDN / ACME'' (<fc #ff0000>**2**</fc>). (SDN müssen Sie ggf. ausklappen). Klicken Sie dort unter ''Accounts'' auf den Button ''Add'' (<fc #ff0000>**1**</fc>) {{ :zertifikate:pki:pve-acme-1.png?direct&600 |}}
   -
-    - Es öffnet sich ein Dialog ''Register Account'', in dem Sie Ihren Account zuerst benennen sollten (<fc #ff0000>**1**</fc>). Dies ist grundsätzlich optional, erleichtert aber später die Identifikation des Accounts insbesondere, wenn Sie mehrere Accounts konfigurieren. Im Beispiel wurde der Account ''Sectigo'' genannt.
+    - Es öffnet sich ein Dialog ''Register Account'', in dem Sie Ihren Account zuerst benennen sollten (<fc #ff0000>**1**</fc>). Dies ist grundsätzlich optional, erleichtert aber später die Identifikation des Accounts insbesondere, wenn Sie mehrere Accounts konfigurieren. Im Beispiel wurde der Account ''Sectigo'' (alter Zertifikatsanbieter) genannt.
     - Tragen Sie eine E-Mail-Adresse ein, die für Benachrichtigungen bspw. bei Zertifikatsausstellungen im Zusammenhang mit diesem Account dient  (<fc #ff0000>**2**</fc>).
     - Wählen Sie ''Custom'' (Eigener Dienstanbieter) bei ''ACME Directory'' (<fc #ff0000>**3**</fc>)
-    - Als ''URL'' tragen Sie ''https://acme.sectigo.com/v2/GEANTOV'' ein (<fc #ff0000>**4**</fc>) und laden Sectigos Nutzungsbedingungen / Terms of Service (TOS), indem Sie auf ''Query URL'' klicken (<fc #ff0000>**5**</fc>).
+    - Als ''URL'' tragen Sie ''%%https://acme-v02.harica.gr/acme/38669cf4-c987-a456-e123-af987db7f654/directory%%'' ein (<fc #ff0000>**4**</fc>) und laden Harica Nutzungsbedingungen / Terms of Service (TOS), indem Sie auf ''Query URL'' klicken (<fc #ff0000>**5**</fc>).
     - Lesen und akzeptieren (<fc #ff0000>**6**</fc>) Sie diese Nutzungsbedingungen.
     - Fügen Sie Ihre Account-Zugangsdaten ''KID'' bei ''EAB Key ID'' (<fc #ff0000>**7**</fc>) und Ihren ''HMAC-Key'' bei ''EAB Key'' (<fc #ff0000>**8**</fc>) ein.
@@ Zeile 233: / Zeile 236: @@
   - Vergessen Sie als Abschluss nicht, etwaige Zertifikatsausnahmen zu entfernen!
-===== Manuelle Ausstellung über Webformular =====
+===== Manuell [OLDSCHOOL]=====
-<note tip>Das Webformular für den Antrag befindet sich unter [[https://cert-manager.com/customer/DFN/ssl/HSM]].</note>
+==== Serverzertifikat beantragen ====
+FIXME
+<note important>Anleitung wird derzeit aktualisiert in Arbeit</note>
 <note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[#automatische_ausstellung_und_einrichtung_ueber_acme_empfohlen|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note>
-<note warning>Wenn Sie über dieses Webformular ein Zertifikat für eine Domain ausstellen lassen möchten, welche keine Subdomain Ihres Bereichs ist, muss Ihr Enrollment-Account vorab dafür freigeschaltet werden. Kontaktieren Sie hierfür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls bricht der Prozess beim Absenden des Formulars mit der Fehlermeldung ''This domain '<hostname>.hs-schmalkalden.de' is not available for enrollment. Please contact administrator.'' ab. Als Beispiel ist der Enrollment-Account ''Rechenzentrum'' berechtigt, Zertifikate für den FQDN ''webserver.rz.hs-schmalkalden.de'' aber **nicht** für ''webserver.hs-schmalkalden.de'' auszustellen.</note>
+<note> Serverzertifikate können von allen Mitarbeitern über Harica beantragt werden. Es obligt den Administratoren (pki@hs-schmalkalden.de) diese Anträgen auch zu genehmigen. Bitte bei neuen Serverzertifikaten den den Administratoren vorab Bescheid geben, dann können Missverständnisse vermieden und der Vorgang beschläunigt werden.</note>
-  - Falls Sie berechtigt sind, für andere Verwaltungsbereiche Serverzertifikate zu beantragen, müssen Sie als ersten Schritt im Webformular den Account des gewünschten Bereichs (<fc #ff0000>**1**</fc>) auswählen und mit ''Next'' bestätigen (<fc #ff0000>**2**</fc>). Sollten Sie nur zur Nutzung eines einzelnen Accounts berechtigt sein, wird dieser automatisch ausgewählt und diese Rückfrage übersprungen. Kontaktieren Sie bitte das Rechenzentrum über [[pki@hs-schmalkalden.de]], falls Ihnen ein benötigter Account nicht zur Auswahl steht. {{ zertifikate:server-1.png?direct&400 |}}
-  - Sie sollten sich nun im eigentlichen Formular befinden:
-    - Dort müssen Sie das ''Profil'' (Certificate Profile) (<fc #ff0000>**1**</fc>) für Ihr Zertifikat definieren, welches im Wesentlichen über seine Eigenschaften und weitere Auswahlmöglichkeiten bestimmt. I.d.R. ist aber das Profil ''OV Multi-Domain'' fest vorgegeben, da es am flexibelsten ist.
-    - Die ''Gültigkeit'' des Zertifikats (Certificate Term) ist durch Sectico immer auf 1 Jahr festgelegt (<fc #ff0000>**2**</fc>).
-    - Als ''Schlüsseltyp'' (Key Type) sollten Sie mindestens ''RSA - 4096'' oder ''EC - P-256'' auswählen (<fc #ff0000>**3**</fc>), um zukunftssicher zu sein. Dies bestimmt vor allem die Resistenz der Verschlüsselung gegen Brute-Force-Angriffe.
-    - Bei ''Common Name'' (<fc #ff0000>**4**</fc>) tragen Sie den vollständigen Domainnamen (FQDN) Ihres Dienstes ein, der mit einem Zertifikat ausgestattet werden soll.
-    - Falls Ihr Dienst über mehrere FQDNs erreichbar ist, können diese für die Profile ''OV Multi-Domain'' und ''Unified Communications Certificate'' als ''Subject Alternative Names'' hinzugefügt werden (<fc #ff0000>**5**</fc>).
-    - Wenn Ihr Zertifikat **Wildcard-Domains** beinhalten soll, können Sie diese mit einem ''*'' am Anfang vorzugsweise bei ''Subject Alternative Names'' oder als ''Common Name'' angeben. Eine Wildcard gilt für **genau einen** Domain-Level! ''*.bereich.hs-schmalkalden.de'' ist daher bspw. für ''dienst-a.bereich.hs-schmalkalden.de'' oder ''dienst-b.bereich.hs-schmalkalden.de'', aber nicht für ''dienst-c.labor.bereich.hs-schmalkalden.de'' oder ''bereich.hs-schmalkalden.de'' gültig! Es empfiehlt sich daher meist, eine Wildcard-Domain immer zusammen mit ihrer Über-Domain zu beantragen. Beachten Sie, dass Ihr Verwaltungsbereich ggf. (noch) nicht zur Ausstellung von Zertifikaten mit Wildcard berechtigt ist. Kontaktieren Sie daher bitte zur Freischaltung formlos das Rechenzentrum mit Ihrer Wunschdomain unter [[pki@hs-schmalkalden.de]].
-    - Wenn Sie möchten, dass das ausgestellte Zertifikat außerdem einer oder mehreren weiteren (externen) Person(en) (bspw. systembetreuenden Studierenden) gesendet wird, können Sie ihre E-Mail-Adresse(n) bei ''External Requesters'' hinterlegen (<fc #ff0000>**6**</fc>).
-    - Das Kommentarfeld (Comments) (<fc #ff0000>**7**</fc>) ist optional und dient nur zu Dokumentations- bzw. zu Beschreibungszwecken, falls für den aktuell ausgewählten Account Zertifikate ausschließlich manuell von Mitarbeitern des Rechenzentrums genehmigt werden.
-    - Zur Prozessvereinfachung empfiehlt es sich ''Auto Renew'' zu aktivieren. Dies hat zur Folge, dass automatisch ein Nachfolgezertifikat beantragt und Ihnen nach der Genehmigung per E-Mail gesendet wird, sobald das Ablaufdatum des Zertifikats nur noch die darunter definierte Anzahl an Tagen (<fc #ff0000>**9**</fc>) entfernt ist.
-    - Bestätigen Sie Ihren Antrag mit ''Submit'' (<fc #ff0000>**10**</fc>). Nun sollten Sie innerhalb weniger Augenblicke eine Bestätigungs-Mail erhalten. Diese E-Mail enthält **nicht** den privaten Schlüssel! Der Download dieses privaten Schlüssels erfolgt in Kürze in Ihrem Browser. {{ zertifikate:server-2.png?direct&400 |}}
-  - Befolgen Sie daher den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht! {{ zertifikate:pki:server-3-dontclose.png?direct&600 |}}
-  -
-    - Der ''Key protection algorithm'' ist an dieser Stelle nicht besonders relevant, da Sie bei der manuellen Einrichtung i.d.R. die .p12-Datei sowieso in ein anderes Format konvertieren müssen. Wählen Sie daher bevorzugt den neueren, sichereren Standard ''Secure AES256-SHA256'' aus (<fc #ff0000>**1**</fc>).
-    - Legen Sie ein sicheres ''Passwort'' fest (<fc #ff0000>**2**</fc>), das den privaten Schlüssel beim anschließenden Download verschlüsselt. Bedenken Sie, dass Sie dieses Passwort später beim Einrichten des Zertifikats brauchen werden. Nutzen Sie optimalerweise einen Passwort-Manager (bspw. [[https://keepass.info|KeePass]]), um sich das Passwort zu notieren!
-    - Schließen Sie den Dialog mit dem Button ''Download'' ab (<fc #ff0000>**3**</fc>). {{ zertifikate:pki:server-4-pwd.png?direct&600 |}}
-  - Befolgen Sie erneut den Hinweis und schließen Sie nicht den aktuellen Browser-Tab! In Kürze sollten Sie zum Download des beantragten Zertifikats inkl. seines privaten Schlüssels im ''PKCS#12''-Format aufgefordert werden. Je nach Ihren persönlichen Browser-Einstellungen erfolgt dieser Download ggf. automatisch ohne Dialog. Prüfen Sie daher Ihr Download-Verzeichnis, falls Sie die ausgestellte Zertifikatsdatei vermissen.
-===== Manuelle Einrichtung =====
-==== Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL ====
+==== Serverzertifikat einbinden====
+=== Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL ===
 Ein großer Anteil an Serversoftware (u.A. Nginx, Apache, ...) erwartet TLS-Zertifiakte im [[https://de.wikipedia.org/wiki/Privacy_Enhanced_Mail|PEM]]- und nicht im [[https://de.wikipedia.org/wiki/Public-Key_Cryptography_Standards|PKCS#12]]-Format. Die über das Webformular im PKCS#12-Format ausgestellten Zertifikate müssen daher vorab konvertiert werden, um für diese Servertypen verwendbar zu sein. Hierfür bietet sich das [[https://www.openssl.org|OpenSSL-Toolkit]] an.
@@ Zeile 283: / Zeile 271: @@
 | Alles ohne Passwort in einer Datei                             | ''openssl pkcs12 -out __all.pem__ -nodes -in cert.p12'' |
-==== Windows ====
+=== Windows ===
 <note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-==== Apache ====
+=== Apache ===
 <note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-==== Nginx ====
+=== Nginx ===
 <note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-==== Proxmox ====
+=== Proxmox ===
 Offizielle Dokumentation: [[https://pve.proxmox.com/wiki/Certificate_Management]]
-=== In der Konsole [EMPFOHLEN] ===
+== In der Konsole [EMPFOHLEN] ==
   - Laden Sie Ihre .p12-Zertifikatsdatei (bspw. mit ''scp'' oder SFTP-Browser) auf Ihren Proxmox-Knoten nach ''/etc/pve/local'' hoch: ''scp _LOKALER_PFAD_IHRES_ZERTIFIKATS_.p12 root@_IHR_HOST_:/etc/pve/local/''
@@ Zeile 309: / Zeile 297: @@
   - Löschen Sie ggf. die hochgeladene .p12-Datei: ''rm *.p12''
-=== Im Web GUI ===
+== Im Web GUI ==
 <note important>Da im Vergleich zur Einrichtung über die Konsole noch zusätzliche Schritte nötig sind, der Prozess aber ansonsten komplett identisch ist, wird dieser Einrichtungsweg nicht empfohlen.</note>