Univention Corporate Server (UCS) » SSL-Zertifikate

ID #1000

Erneuern der SSL-Zertifikate

Produktlogo UCS Version 2.x, 3.x 

 

Die Kommunikation zwischen den verschiedenen Rechnern einer UCS-Domäne erfolgt großteils SSL-verschlüsselt. Bei der SSL-Verschlüsselung werden ein Root-Zertifikat und für jeden Rechner ein Rechnerzertifikat benötigt. Das Root-Zertifikat hat nur einen bestimmten Gültigkeitszeitraum, ebenso wie die mit dem Root-Zertifikat erstellten Rechnerzertifikate. Ist dieser Zeitraum abgelaufen, funktionieren Dienste, die ihre Kommunikation mit SSL verschlüsseln (z.B. LDAP) nicht mehr. Es ist deshalb notwendig, die Gültigkeit der Zertifikate zu überprüfen und ggf. neue Rechnerzertifikate zu erstellen.

Die folgende Befehle müssen auf einem UCS-Master durchgeführt werden.

Die Überprüfung, wie lange ein Rechnerzertifikat noch gültig ist, kann mit univention-certificate erfolgen:

Code:
univention-certificate dump -name ucs-master.univention.de
[...]
Validity
Not Before: Jun 19 10:40:13 2006 GMT
Not After : Jun 18 10:40:14 2008 GMT
[...]

Hierbei ist immer der FQDN des Rechnernamens (Rechnername + Domain) anzugeben. Eine Liste aller verfügbaren Zertifikate erhält man mit

Code:
univention-certificate list

Normalerweise haben die Zertifikate aller Rechner einer UCS-Domäne das gleiche Ablaufdatum. Um neue Zertifikate zu erstellen, ist folgendermaßen vorzugehen:

Sicherung der alten Zertifikate:

Code:
cp -a /etc/univention/ssl /etc/univention/ssl_$(date +"%d%m%Y")

 

Erneuerung des root-Zertifikats, als Passwort ist der Inhalt der Datei /etc/univention/ssl/password anzugeben:

Code:
cd /etc/univention/ssl/ucsCA
openssl x509 -in CAcert.pem -out NewCAcert.pem -days "$(ucr get ssl/default/days)" \
 -passin file:/etc/univention/ssl/password \
  -signkey private/CAkey.pem
mv NewCAcert.pem CAcert.pem

Achtung: Bei UCS-Systemen in einer Version älter als 2.0 lautet das Verzeichnis "/etc/univention/ssl/ucsCA" statt "/etc/univention/ssl/udsCA".

Erneuerung aller Rechnerzertifikate:

Code:
eval "$(ucr shell)"
cd /etc/univention/ssl
for i in *.$domainname; do univention-certificate renew -name $i -days $(ucr get ssl/default/days); done

Kopieren der neuen Zertifikate auf die anderen Rechnersysteme (hier am Beispielrechner ucs-slave):

Code:
eval "$(ucr shell)"
cd /etc/univention/ssl/
scp ucsCA/CAcert.pem root@ucs-slave:/etc/univention/ssl/ucsCA/
scp -r ucs-slave.$domainname root@ucs-slave:/etc/univention/ssl/
scp -r ucs-slave.$domainname/* root@ucs-slave:/etc/univention/ssl/ucs-slave

Der letzte Schritt ist auf UCS-Backup-Rechner nicht erforderlich, dies erfolgt automatisch per cron.

Auf Rechnern, auf denen der cyrus-Mailserver läuft, sind zusätzlich die Dateien cert.pem und private.key nach /var/lib/cyrus/ zu kopieren:

Code:
cp /etc/univention/ssl/"$(hostname -f)"/cert.pem /var/lib/cyrus
cp /etc/univention/ssl/"$(hostname -f)"/private.key /var/lib/cyrus/

Im Anschluß muß Besitzer- und Gruppezugehörigkeit der kopierten Dateien auf dem Mailserver angepasst werden

chown cyrus:mail /var/lib/cyrus/cert.pem
chown cyrus:mail /var/lib/cyrus/private.key

Um das neu erstellte Zertifikat allen Benutzern über die zentrale Verwaltungs-Webseite des UCS-Masters zugänglich zu machen, kann der folgende Befehl verwendet werden:

Code:
cp /etc/univention/ssl/ucsCA/CAcert.pem /var/www/ucs-root-ca.crt

Nach dem Aktualisieren der Zertifikate werden die neuen Informationen noch nicht im Univention Directory Manager angezeigt.
Diese würden erst bei der nächsten regulären Prüfung aktualisiert, da der dafür angelegte Cronjob nur einmal am Tag ausgeführt wird.
Um die Gültigkeit der Zertifikate sofort prüfen zu können müssen die entsprechenden Univention Configuration Registry Variablen (ssl/validity/days) ausgewertet werden. Dies kann durch den Aufruf des folgenden Skriptes erfolgen:

Code:
/usr/sbin/univention-certificate-check-validity

 

Wird der UCS AD-Connector eingesetzt, sollten die Zertifikate auch auf dem AD-System aktualisiert werden.
Hierfür können die neuen Zertifikate für das AD-Connector System über die UMC zum Download bereitgestellt werden:

cp /etc/univention/ssl/<FQDN des AD-Systems>/{cert.pem,private.key} /var/www/univention-ad-connector/
chgrp www-data /var/www/univention-ad-connector/{cert.pem,private.key}

Anschließend können die Zertifikate wie in der AD-Connector Dokumentation (Kapitel "Einrichtung des Passwort-Dienstes auf dem AD-System") beschrieben auf dem AD-System abgelegt werden.

Alle Dienste, die SSL-Verschlüsselung benutzen, müssen neu gestartet werden.
Alternativ kann ein Neustart des Systems durchgeführt werden, wenn nicht bekannt ist, welche Dienste mit SSL in Verbindung stehen.

Tags: SSL, UNIVENTION_SSL, Zertifikate

Verwandte Artikel:

Letzte Änderung der FAQ: 2013-05-08 10:35
Autor: Janis Meybohm
Revision: 1.26

Sprache ändern
 

Digg it! Share on Facebook FAQ ausdrucken FAQ weiterempfehlen Als PDF-Datei anzeigen
Bewertung der Nützlichkeit dieser FAQ:

Durchschnittliche Bewertung: 5 (1 Abstimung)

vollkommen überflüssig 1 2 3 4 5 sehr wertvoll

Kommentieren nicht möglich