Univention Corporate Server (UCS) » SSL certificates

ID #1187

Erneuern der kompletten SSL-Zertifikatskette

Sprachen:  DeutschEnglish
Produktlogo UCS UCS 3 

 

 

Problem:

Wie kann die vollständige Erneuerung der SSL-Zertfikatskette realisiert werden?

Lösung:

Um das CAkey.pem und abhängige Zertifikatsdateien neu zu erzeugen, gehen Sie bitte wie folgt vor:

Verschieben Sie das Verzeichnis /etc/univention/ssl:

mv /etc/univention/ssl  /etc/univention/ssl_$(date  +"%d%m%Y")

Erzeugen Sie eine neue SSL-Grundstruktur sowie ein neues Zertifikat für den DC-Master:

apt-get install --reinstall univention-ssl

Setzen Sie die Dateiberechtigungen:

chgrp 'DC Backup Hosts' -R /etc/univention/ssl/openssl.cnf /etc/univention/ssl/password /etc/univention/ssl/ucsCA/
chgrp 'DC Slave Hosts' /etc/univention/ssl/ucsCA/CAcert.pem
find /etc/univention/ssl/ucsCA/ -type d -exec chmod g+rwX {} \;

Erneuern des Zertifikats für den DNS-Alias univention-directory-manager sowie alle Rechner-Zertifikate der UCS-Domäne neu erzeugt werden:

eval "$(univention-config-registry shell)"
univention-certificate new -name univention-directory-manager.$domainname -days $ssl_default_days
ln -s /etc/univention/ssl/univention-directory-manager.$domainname/ /etc/univention/ssl/univention-directory-manager
/etc/init.d/slapd restart
univention-directory-listener-ctrl resync gencertificate

 

Kopieren der Zertifikate

Anschließend müssen die neu erstellten Rechner-Zertifikate auf die angeschlossenen Systeme verteilt werden.
Die hierzu notwendigen Schritte finden sich in Artikel #1000 - "Erneuern der SSL-Zertifikate"

Tags: UCS 3, UCS 4

Related entries:

Last update: 2015-06-17 16:46
Author: Murat Odabas
Revision: 1.17

Digg it! Share on Facebook Print this record Send FAQ to a friend Show this as PDF file
Please rate this FAQ:

Average rating: 0 (0 Votes)

completely useless 1 2 3 4 5 most valuable

You cannot comment on this entry