Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
zertifikate_installieren_mit_acme-clients [2023/01/13 09:33] – rwelte | zertifikate_installieren_mit_acme-clients [2023/01/13 09:48] – rwelte | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
**Vorgehen: | **Vorgehen: | ||
- | Es wird ein Admin definiert, der für eine oder mehrere Subdomain(s), | + | Es wird ein Admin definiert, der für eine oder mehrere Subdomain(s), |
+ | |||
+ | Der zu benennende Admin sollte auf jeden Fall einen regulären Mitarbeiter*in Status der Universität Freiburg besitzen und optimalerweise dem Rechenzentrum bekannt sein (in der Vergangenheit wurden von der Person bereits über das DFN Serverzertifikate beantragt). | ||
+ | |||
+ | <note>Hinweis: War dies bisher | ||
Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann. | Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann. | ||
Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | ||
Eine Übersicht über diverse ACME Clients findet sich unter http:// | Eine Übersicht über diverse ACME Clients findet sich unter http:// | ||
- | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https:// | + | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. |
- | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. | + | |
+ | Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https:// | ||
+ | |||
+ | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. | ||
+ | |||
+ | <note important> | ||
Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | ||
Zeile 20: | Zeile 31: | ||
Beispiel für certbot (Linux): | Beispiel für certbot (Linux): | ||
/ | / | ||
- | ---- | + | |
max-log-backups = 0 | max-log-backups = 0 | ||
email = < | email = < | ||
Zeile 27: | Zeile 38: | ||
eab-kid = < | eab-kid = < | ||
eab-hmac-key = < | eab-hmac-key = < | ||
- | ------ | ||
- | < | ||
- | Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | + | |
- | / | + | < |
- | -------------- | + | |
+ | <note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | ||
+ | / | ||
+ | |||
+ | |||
[Unit] | [Unit] | ||
Description=Timer for Certbot Renewal | Description=Timer for Certbot Renewal | ||
Zeile 41: | Zeile 55: | ||
[Install] | [Install] | ||
WantedBy=multi-user.target | WantedBy=multi-user.target | ||
- | ----------------------- | + | |
- | / | + | |
- | -------------- | + | < |
[Unit] | [Unit] | ||
Description=Certbot Renewal | Description=Certbot Renewal |