Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
zertifikate_installieren_mit_acme-clients [2023/01/13 09:33] – rwelte | zertifikate_installieren_mit_acme-clients [2023/01/13 10:08] – rwelte | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
**Vorgehen: | **Vorgehen: | ||
- | Es wird ein Admin definiert, der für eine oder mehrere Subdomain(s), | + | Es wird ein Admin definiert, der für eine oder mehrere Subdomain(s), |
+ | |||
+ | Der zu benennende Admin sollte auf jeden Fall einen regulären Mitarbeiter*in Status der Universität Freiburg besitzen und optimalerweise dem Rechenzentrum bekannt sein (in der Vergangenheit wurden von der Person bereits über das DFN Serverzertifikate beantragt). | ||
+ | |||
+ | <note>Hinweis: War dies bisher | ||
Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann. | Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann. | ||
Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | ||
Eine Übersicht über diverse ACME Clients findet sich unter http:// | Eine Übersicht über diverse ACME Clients findet sich unter http:// | ||
- | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https:// | + | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. |
- | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. | + | |
+ | Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https:// | ||
+ | |||
+ | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. | ||
+ | |||
+ | <note important> | ||
Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | ||
Zeile 17: | Zeile 28: | ||
+ | <WRAP center round box 60%> | ||
- | Beispiel für certbot (Linux): | ||
/ | / | ||
- | ---- | + | |
max-log-backups = 0 | max-log-backups = 0 | ||
+ | |||
email = < | email = < | ||
+ | |||
agree-tos = true | agree-tos = true | ||
- | server = https:// | + | |
+ | https:// | ||
eab-kid = < | eab-kid = < | ||
+ | |||
eab-hmac-key = < | eab-hmac-key = < | ||
- | ------ | ||
- | < | ||
- | Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | + | </ |
- | / | + | |
- | -------------- | + | |
+ | |||
+ | < | ||
+ | |||
+ | <note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | ||
+ | </ | ||
+ | |||
+ | |||
+ | <WRAP center round box 60%> | ||
+ | **/ | ||
[Unit] | [Unit] | ||
+ | |||
Description=Timer for Certbot Renewal | Description=Timer for Certbot Renewal | ||
+ | |||
[Timer] | [Timer] | ||
+ | |||
OnBootSec=300 | OnBootSec=300 | ||
+ | |||
OnUnitActiveSec=1d | OnUnitActiveSec=1d | ||
+ | |||
[Install] | [Install] | ||
+ | |||
WantedBy=multi-user.target | WantedBy=multi-user.target | ||
- | ----------------------- | + | |
- | / | + | |
- | -------------- | + | |
+ | |||
+ | |||
+ | |||
+ | **/ | ||
[Unit] | [Unit] | ||
+ | |||
Description=Certbot Renewal | Description=Certbot Renewal | ||
+ | |||
[Service] | [Service] | ||
+ | |||
ExecStart=/ | ExecStart=/ | ||
+ | |||
+ | </ | ||
+ | |||