Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
zertifikate_installieren_mit_acme-clients [2023/01/13 09:39] – rwelte | zertifikate_installieren_mit_acme-clients [2023/01/13 10:20] – rwelte | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
**Vorgehen: | **Vorgehen: | ||
- | Es wird ein Admin definiert, der für eine oder mehrere Subdomain(s), | + | Es wird ein Admin bestimmt, der für eine oder mehrere Subdomain(s), |
- | Der zu benennende | + | < |
+ | War dies bisher nicht der Fall, wird ein formloses Bestätigungsschreiben vom Dekan benötigt.</ | ||
- | <blockquote>Hinweis: War dies bisher | + | Die beantragte Host-Domäne wird dann vom Rechenzentrum im Sectigo-Portal unterhalb der Domäne “uni-freiburg.de” hinzugefügt. |
+ | |||
+ | Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server von Sectigo kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | ||
+ | Eine Übersicht über diverse ACME Clients findet sich unter http:// | ||
+ | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. | ||
+ | |||
+ | <note important>Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch | ||
+ | |||
+ | Diese Tools können einerseits direkt auf dem Server laufen, | ||
+ | |||
+ | <note important> | ||
- | Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann. | ||
- | Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | ||
- | Eine Übersicht über diverse ACME Clients findet sich unter http:// | ||
- | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https:// | ||
- | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. Oder aber für eine ganze Serverlandschaft mit unterschiedlichen Administratoren auf einer dedizierten Maschine installiert werden, um so die Zertifikate dann automatisch zu verteilen. Der Account sollte auf jeden Fall nur auf sicheren Systemen eingesetzt werden, wo Nutzende nicht einfach durch booten mit einem anderen Betriebssystem Zugriff zum Filesystem erlangen können (Pool-PCs o.ä.). | ||
Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | ||
Zeile 22: | Zeile 28: | ||
+ | <WRAP center round box 60%> | ||
- | Beispiel für certbot (Linux): | ||
/ | / | ||
- | ---- | + | |
max-log-backups = 0 | max-log-backups = 0 | ||
+ | |||
email = < | email = < | ||
+ | |||
agree-tos = true | agree-tos = true | ||
- | server = https:// | + | |
+ | https:// | ||
eab-kid = < | eab-kid = < | ||
+ | |||
eab-hmac-key = < | eab-hmac-key = < | ||
- | ------ | ||
- | < | ||
- | Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | + | </ |
- | / | + | |
- | -------------- | + | |
+ | |||
+ | < | ||
+ | |||
+ | <note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | ||
+ | </ | ||
+ | |||
+ | |||
+ | <WRAP center round box 60%> | ||
+ | **/ | ||
[Unit] | [Unit] | ||
+ | |||
Description=Timer for Certbot Renewal | Description=Timer for Certbot Renewal | ||
+ | |||
[Timer] | [Timer] | ||
+ | |||
OnBootSec=300 | OnBootSec=300 | ||
+ | |||
OnUnitActiveSec=1d | OnUnitActiveSec=1d | ||
+ | |||
[Install] | [Install] | ||
+ | |||
WantedBy=multi-user.target | WantedBy=multi-user.target | ||
- | ----------------------- | + | |
- | / | + | |
- | -------------- | + | |
+ | |||
+ | |||
+ | |||
+ | **/ | ||
[Unit] | [Unit] | ||
+ | |||
Description=Certbot Renewal | Description=Certbot Renewal | ||
+ | |||
[Service] | [Service] | ||
+ | |||
ExecStart=/ | ExecStart=/ | ||
+ | |||
+ | </ | ||
+ | |||