181
Bearbeitungen
Änderungen
Howto/SSL Zertifikate mit Let's Encrypt (Quelltext anzeigen)
Version vom 11. Januar 2017, 19:38 Uhr
, 19:38, 11. Jan. 2017keine Bearbeitungszusammenfassung
cert_client: Rechner, auf den die Zertifikate übertragen werden.
cert_client: Rechner, auf den die Zertifikate übertragen werden.
==Cert_master==
==cert_master==
===Software besorgen/installieren:===
===Software besorgen/installieren:===
cp $CHAINFILE /home/cert/$DOMAIN/
cp $CHAINFILE /home/cert/$DOMAIN/
chmod 500 $(find /home/cert -mindepth 1 -type d )
chmod 750 $(find /home/cert -mindepth 1 -type d )
chmod 400 $(find /home/cert -mindepth 1 -type f )
chmod 740 $(find /home/cert -mindepth 1 -type f )
chown cert.cert -R /home/cert/*
chown root.cert -R /home/cert/*
# cleanup unused cert files
# cleanup unused cert files
</source>
</source>
==SSH konfigurieren==
===Transferbenutzer anlegen===
/etc/ssh/sshd_config: Hier wird /etc/ssh/authorized_keys_local als zusätzliche Quelle für erlaubte public keys hinzugefügt.
Dieser Benutzer wird verwendet als Transferbenutzer zwischen cert_master und cert_client
<source lang=bash inline> adduser --home /home/cert --disabled-login -gecos "" cert</source>
===SSH konfigurieren===
'''/etc/ssh/sshd_config''': Hier wird /etc/ssh/authorized_keys_local als zusätzliche Quelle für erlaubte public keys hinzugefügt.
<source lang=bash>
<source lang=bash>
AuthorizedKeysFile %h/.ssh/authorized_keys /etc/ssh/authorized_keys_local
AuthorizedKeysFile %h/.ssh/authorized_keys /etc/ssh/authorized_keys_local
</source>
</source>
/etc/ssh/sshd_config: Hier wird ein chroot jail für den Zertifikatsuser eingerichtet, so dass ein geleakter private key kein manipulieren des Cert_master zulässt. Die Permissions von /home/cert (wie gesetzt in hooks.sh) verhindern ein überschreiben der Zertifikate, internal-sftp erlaubt nur sftp über die Verbindung.
'''/etc/ssh/sshd_config''': Hier wird ein chroot jail für den Zertifikatsuser eingerichtet, so dass ein geleakter private key kein manipulieren des cert_master zulässt. Die Permissions von /home/cert (wie gesetzt in hooks.sh) verhindern ein überschreiben der Zertifikate, internal-sftp erlaubt nur sftp über die Verbindung.
<source lang=bash>
<source lang=bash>
Match User cert
Match User cert
</source>
</source>
/etc/ssh/authorized_keys_local: Hier kommen alle public keys von hosts rein, die Zertifikate abrufen wollen.
'''/etc/ssh/authorized_keys_local''': Hier kommen alle public keys von hosts rein, die Zertifikate abrufen wollen.
===Cron===
Das script in cron.daily läuft einmal täglich (wann wird bestimmt von Debian). Dann werden neue Zertifikate abgerufen und alte erneuert.
'''/etc/cron.daily/ssl_certs''': dehydrated wird aufgerufen und stdout wird verworfen. Stderr wird über cron per mail weiter gegeben.
<source lang=bash>
#!/bin/bash
dehydrated -c -g -f /etc/dehydrated/config > /dev/null
</source>
==cert_client==
==SSH kofigurieren==