Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
zertifikate_installieren_mit_acme-clients [2023/01/13 09:56] rweltezertifikate_installieren_mit_acme-clients [2023/01/13 10:12] rwelte
Zeile 6: Zeile 6:
 **Vorgehen:** **Vorgehen:**
    
-Es wird ein Admin definiert, der für eine oder mehrere Subdomain(s), z.B. physik.uni-freiburg.de zuständig ist. Dieser wendet sich an unsere PKI Stelle ([[pki@rz.uni-freiburg.de]]) und lässt sich einen ACME-Account einrichten. +Es wird ein Admin bestimmt, der für eine oder mehrere Subdomain(s), z.B. physik.uni-freiburg.de zuständig ist. Dieser wendet sich an unsere PKI Stelle ([[pki@rz.uni-freiburg.de]]) und lässt sich einen ACME-Account einrichten. 
  
-Der zu benennende Admin sollte auf jeden Fall einen regulären Mitarbeiter*in Status der Universität Freiburg besitzen und optimalerweise dem Rechenzentrum bekannt sein (in der Vergangenheit wurden von der Person bereits über das DFN Serverzertifikate beantragt).  +<note>Hinweis: Der Admin sollte auf jeden Fall einen regulären Mitarbeiter*in Status an der Universität Freiburg besitzen und bereits in der Vergangenheit über das DFN Serverzertifikate beantragt haben.  
- +War dies bisher nicht der Fall, wird ein formloses Bestätigungsschreiben vom Dekan benötigt.</note>
-<note>Hinweis: War dies bisher nicht der Fall, wird ein formloses Bestätigungsschreiben vom Dekan benötigt.</note>+
  
 Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann. Unter Umständen muss die Host-Domäne noch im Sectigo-Portal unter “Domain” der Domäne “uni-freiburg.de” hinzugefügt werden. Dies ist zum Beispiel dann der Fall, wenn der ACME-Account weiter eingeschränkt werden soll, bspw. auf: “omero.uni-freiburg.de”. Sodass dieser Account keine Zertfikate für “uni-freiburg.de” erstellen kann.
Zeile 17: Zeile 16:
 Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden.  Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. 
  
-Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https://www.win-acme.com +Für Windows-Systeme kann dieser ACME Client jedoch für Apache / Nginx Server die Zertifikate nur beziehen, diese jedoch nicht automatisiert installieren. Ein ACME-Client mit GUI für Windows findet sich hier: https://www.win-acme.com - eine Anleitung für diesen Client wird momentan erstellt.
  
 Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. Zudem können sie für eine ganze Serverlandschaft mit unterschiedlichen Administratoren auf einer dedizierten Maschine installiert werden, um die Zertifikate auf diese Weise dann automatisch zu verteilen.  Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. Zudem können sie für eine ganze Serverlandschaft mit unterschiedlichen Administratoren auf einer dedizierten Maschine installiert werden, um die Zertifikate auf diese Weise dann automatisch zu verteilen. 
Zeile 28: Zeile 27:
  
  
-<WRAP center round box 60%>Beispiel für certbot (Linux):+<WRAP center round box 60%>**Beispiel für certbot (Linux):** 
 /etc/letsencrypt/cli.ini /etc/letsencrypt/cli.ini
  
Zeile 34: Zeile 34:
  
 email = <userid>@rz.uni-freiburg.de email = <userid>@rz.uni-freiburg.de
 +
 agree-tos = true agree-tos = true
-server = https://acme.sectigo.com/v2/GEANTOV+ 
 +https://acme.sectigo.com/v2/GEANTOV 
 eab-kid = <eab-kid> eab-kid = <eab-kid>
 +
 eab-hmac-key = <hmac> eab-hmac-key = <hmac>
  
Zeile 47: Zeile 51:
  
 <note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): <note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer):
-/etc/systemd/system/certbot-renewal.timer</note>+</note>
  
  
 +<WRAP center round box 60%>
 +**/etc/systemd/system/certbot-renewal.timer**
  
 [Unit] [Unit]
 +
 Description=Timer for Certbot Renewal Description=Timer for Certbot Renewal
 +
 [Timer] [Timer]
 +
 OnBootSec=300 OnBootSec=300
 +
 OnUnitActiveSec=1d OnUnitActiveSec=1d
 +
 [Install] [Install]
 +
 WantedBy=multi-user.target WantedBy=multi-user.target
  
  
-<note>/etc/systemd/system/certbot-renewal.service+ 
 + 
 + 
 + 
 +**/etc/systemd/system/certbot-renewal.service**
  
 [Unit] [Unit]
 +
 Description=Certbot Renewal Description=Certbot Renewal
 +
 [Service] [Service]
 +
 ExecStart=/usr/bin/certbot renew --post-hook "systemctl restart nginx" ExecStart=/usr/bin/certbot renew --post-hook "systemctl restart nginx"
 +
 +</WRAP>
 +
  

Zuletzt angesehen:

QR-Code
QR-Code ACME für Sectigo Zertifikate (erstellt für aktuelle Seite)