Drift/Oppdatere SSL-sertifikater

From Programvareverkstedet
< Drift
Revision as of 15:52, 13 January 2022 by Felixalb (talk | contribs)
Jump to navigation Jump to search

Her er info om hvordan man oppdaterer de ulike SSL-sertifikatene på PVV. Hele prosessen er basert på denne guiden, sjekk den for forklaring.


Ta backup av alle filer du bytter ut. bruk "old"-mapper samme sted som sertifikatene.

Hvorfor

I nyere tider, altså etter 2020, skal ikke sertifikater vare lenger enn 13 måneder. Derfor må denne prosessen gjennomføres omtrent en gang i året.


SSL-kryptering krever to deler, en privatnøkkel og en kjede med sertifikater. Privatnøkkelen skal aldri deles, og ligger som regel med begrenset lese/skrive-tilgang. Det første sertifikatet i kjeden er den aktuelle maskinen, for eksempel for www.pvv.ntnu.no, som er "signert" av neste i kjeden. Til slutt ligger rotsertifikatet(CA / Certificate Authority) klienten kjenner fra før.


Fordi vi bruker et ntnu-domene kan vi ikke bruke hvilken som helst CA, men bruke GEANT/Sectigo. For å få tilgang til signeringstjenesten kan du ta kontakt med Orakeltjenesten / NTNU IT, eller spørre en drifter som har gjort dette før.


For at CA-en skal kunne lage et signert sertifikat trenger du en CSR. Konfigurasjonsfilene for disse ligger i /etc/ssl/private på spikkjeposche. For å legge til nye maskiner eller endre aktuelle tjenestenavn kan du redigere filene der. Om .conf-filene ser greie ut, les gjennom og kjør make.sh De resulterende req-filene kan sendes til CA for signering. Per nå brukes typen 01 GÉANT OV Multi-Domain da våre maskiner ofte går under flere navn.


Hvor og Hvordan

For å oppdatere sertifikatene, bytt ut disse filene. Pass på at du ikke endrer filnavn, permissions, eierskap eller format.

spikkjeposche

  • i /etc/ssl/private:
-rw-------  1 root  wheel spikkjeposche_pvv_ntnu_no.pem          ; cat <bare cert> <private key>
-rw-r--r--  1 root  wheel spikkjeposche_pvv_ntnu_no_interm.cer   ; full chain
  • Kjør usr/local/etc/rc.d/lighttpd restart
  • Test om nettsiden, webmail og wiki fungerer med https.


microbel

NB! mange filer, mange forskjellige permissions.

  • i /etc/exim4:
-r-------- 1 Debian-exim  root exim.crt                          ; bare cert
-rw------- 1 Debian-exim  root exim.key                          ; private key
  • i /etc/dovecot/ssl:
-rw-r--r-- 1 root root imap.crt.pem                              ; full chain
-rw------- 1 root root imap.key.pem                              ; private key
  • i /etc/ssl/certs:
-rw-r--r-- 1 root dovecot dovecot.pem                            ; full chain
  • Kjør systemctl restart dovecot systemctl restart exim4 og systemctl restart apache2
  • Test at IMAP, SMTP og web(list.pvv.ntnu.no) fungerer med https.


essendrop

  • i /usr/local/opt/gogs/certs:
-rw-r----- 1 root www-data privchain-essendrop.pvv.ntnu.no.pem   ; cat <bare cert> <private key>
Muligens noen av de andre? Prøv med denne først, eventuelt prøv en og en gjenværende.
  • Kjør systemctl restart lighttpd og systemctl restart gogs
  • Sjekk at git/gogs virker i nettleser og evt. git CLI.