Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
zertifikate_installieren_mit_acme-clients [2023/01/13 10:20] – rwelte | zertifikate_installieren_mit_acme-clients [2023/01/13 12:45] (aktuell) – nw75 | ||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
- | Sinnvollerweise sollte die Nutzung von Zertifikaten für den Serverbetrieb automatisiert werden. Das RZ empfiehlt dies für alle Systeme, die länger als nur temporär betrieben werden. Hierzu kommt das “Automated Certificate Management Environment (ACME)” zum Einsatz. | + | Sinnvollerweise sollte die Nutzung von Zertifikaten für den Serverbetrieb automatisiert werden, um den Administrationsaufwand zu reduzieren und Hinweise auf abgelaufene Zertifikate zu vermeiden. Das RZ empfiehlt dies für alle Systeme, die länger als nur temporär betrieben werden. Hierzu kommt das inzwischen gut erprobte und stabile |
**Vorgehen: | **Vorgehen: | ||
- | Es wird ein Admin bestimmt, der für eine oder mehrere Subdomain(s), | + | Es wird in den einzelnen Gliederungen bzw. Zuständigkeitsbereichen |
- | < | + | < |
- | War dies bisher nicht der Fall, wird ein formloses Bestätigungsschreiben vom Dekan benötigt.</ | + | |
Die beantragte Host-Domäne wird dann vom Rechenzentrum im Sectigo-Portal unterhalb der Domäne “uni-freiburg.de” hinzugefügt. | Die beantragte Host-Domäne wird dann vom Rechenzentrum im Sectigo-Portal unterhalb der Domäne “uni-freiburg.de” hinzugefügt. | ||
- | Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server von Sectigo kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...) | + | Es gibt eine ganze Reihe von Tools, die mit dem ACME-Server von Sectigo kommunizieren können und dabei für viele Standarddienste bereits Module enthalten, um diese zu konfigurieren (z.B. Apache, Nginx, ...). |
Eine Übersicht über diverse ACME Clients findet sich unter http:// | Eine Übersicht über diverse ACME Clients findet sich unter http:// | ||
Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. | Der Client ist für viele Betriebssysteme verfügbar, zudem können auf der Website Konfigurationsdateien erstellt werden. | ||
Zeile 19: | Zeile 18: | ||
<note important> | <note important> | ||
- | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. Zudem können sie für eine ganze Serverlandschaft mit unterschiedlichen Administratoren auf einer dedizierten Maschine installiert werden, um die Zertifikate auf diese Weise dann automatisch | + | Diese Tools können einerseits direkt auf dem Server laufen, der mit dem Zertifikat arbeitet. Zudem können sie aber auch für eine ganze Serverlandschaft mit unterschiedlichen Administratoren auf einer dedizierten Maschine installiert werden, um die Zertifikate auf diese Weise dort zu beziehen und dann automatisiert |
- | <note important> | + | <note important> |
Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | Auf dem System wird dann das jeweilige ACME-Tool konfiguriert, | ||
Zeile 27: | Zeile 26: | ||
+ | <WRAP center round box 60%> | ||
- | <WRAP center round box 60%>**Beispiel für certbot (Linux):** | + | **/ |
- | / | + | < |
- | + | ||
- | max-log-backups = 0 | + | |
email = < | email = < | ||
Zeile 38: | Zeile 36: | ||
agree-tos = true | agree-tos = true | ||
- | https:// | + | server = https:// |
eab-kid = < | eab-kid = < | ||
- | eab-hmac-key = < | + | eab-hmac-key = <hmac></ |
Zeile 48: | Zeile 46: | ||
+ | {{tag> | ||
- | < | + | < |
<note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): | <note tip>Für das Renewal der Zertifikate kann man entsprechende Automatismen setzen (hier das Beispiel für einen Systemd Timer): |