====== SSL certifikáty ====== Časť LetsEncrypt certifikátova sa dá spravovať pomocou ansible [[server:ansible:letsencrypt]] todo opravit link ===== Zoznam certifikátov a FQDN ===== [[server:acs:debofw|DeboFW]]\\ * Acquisition Library of Files - Jira pre zber 3D objektov * alf.727.sk * alfadmin.727.sk * alpha.727.sk * vr4d.com - predaj 3D objektov - download server * download.vr4d.com * dwn.vr4d.com * cdn.vr4d.com * cdn1.vr4d.com * cdnsrv1.vr4d.com * cdnsrv2.vr4d.com * admin.vr4d.com * mgr.vr4d.com * vrak.vr4d.com * vrba.vr4d.com * hoba - stranka hokejoveho klubu (Lacov syn v nom hraje) * hoba.sk * www.hoba.sk * test2.hoba.sk * mailserver (a webmail) pre vr4d a rodinu * mail.vr4d.com * mail.vr4dream.com * mail.vr4dreams.com * mail.vr4dimension.com * Phabricator - bugzilla like manager * phabricator.systemomega.com * Vudpapzona - omega server pre detskych skolskych psychologov (problem je, ze na danom pocitaci nefunguje certbot, preto je tam na haproxy presmerovany kanal pre potvrdenie letsencrypt) * razor.systemomega.com * vudpapzona.systemomega.com * vudpapdev.systemomega.com * Portal GPN * rezervacie.gpn.sk * Medic certifikat, ked nemame (by sme nemali) hviezdickovy certifikat * server.medic.sk * kdch.medic.sk (uz niekolko rokov by malo bezat v dfnsp, na ich internom serveri, ale...) * gpnportal.medic.sk * gpnportaladmin.medic.sk * proportal.medic.sk * proportadmin.medic.sk * kdch.medic.sk * vr4d stranka s obchodom * www.vr4d.com * vr4d.com * test.vr4d.com * ntest.vr4d.com * omega.vr4d.com * casting.727.sk * vr4dream - projekt predaja 3d objektov - asi sa neosamostatni, takze bude iba vr4d.com * www.vr4dream.com * vr4dream.com * omega.vr4dream.com * vr4dreams.com * www.vr4dreams.com * omega.vr4dreams.com * vr3dimension.com * www.vr3dimension.com * omega.vr3dimension.com ===== Kúpené certifikáty ===== === *.medic.sk === Pomocou príkazu\\ ''openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj "/C=SK/ST=/L=Bratislava/O=Garsius, s.r.o./CN=*.medic.sk"''\\ vygenerujeme kľúč a žiadosť o certifikát. CSR súbor doručíme napríklad firme disig na ''disig@disig.sk''. Po novom budú vyžadovať potvrdenie vlastníctva domény cez mail (cez verejné záznamy nájdu asi stanislavnizky@gmail.com) a mailové potvrdenie od konateľa, že sa mu nezmenili doklady. Faktúra poštou (v 2019 sa stratila - na požiadanie poslali mailom). Certifikát sa v našich podmienkach terminuje v HAProxy. Preto je potrebné vykonať tieto kroky: * Vygenerovať kľúč a žiadosť (already done) * Zo dodaného zipu vybrať certifikát a do jedného súboru vlepiť postupne certifikát, súkromný kľúč, pomocné kľúče certifikačnej autority (CA root je v prehliadači, ale ním je podpísaný intermidiate kľúč CA a až ním je podpísaný náš kľúč. Tieto medzistupne preto pridávame do certifikátu, aby bola reťaz úplná.) * hotový pem certifikát nakopírovať na potrebné serveri do adresára ''/etc/haproxy/ssl/star.medic.sk.20XX.pem'' * Ak existuje tak je potrebné prepísať dáta v súbore ''/etc/haproxy/crt-list.txt'' Potrebné je to preto, že bez takéhoto súboru sa načítajú všetky súbory z ssl adresára a teda aj backupy po editovaní aj súbory s .old príponou a náhodne budú fungovať zastaralé kľúče. * Skontrolovať, či ''haproxy.cfg'' neobsahuje cestu k certifikátu natvrdo (bolo použité v [[/server/dfnsp/|NUDCH]]) * Od 2019 disig zaviedol overovanie platnosti certifikátov a rozhodol sa pre **OCSP stapling**. Webový server preto musí na vyžiadanie zaslať časovú pečiatku podpísanú vydavateľom certifikátu. Tá sa dá stiahnuť od vydavateľa, uložiť do súboru a pripájať k odpovedi, ale je potrebné ju aktualizovať v časovom limite jej platnosti (ASI 14 dní. netuším. neviem zistiť. ssl odpoveď hovorí, že o 6 hodín znova, ale možno vracia tú istú odpoveď). * Na to máme skript v ''/usr/local/sbin/ocsp_update.sh''. Tento obsahuje natvrdo zadaný pem súbor v haproxy adresári. Stiahne novú pečiatku, uloží ju ako blabla.pem.ocsp, čo automaticky nájde haproxy (po reštarte). Za behu preto dostane špeciálny príkaz ne reload. * ocsp skript sa spúšťa každú noc, cez cron daily. Ak sa ukáže, že podpis je generovaný naozaj každých 6 hodín, tak ho bude treba nastaviť hustejšie. * Na [[/server/dfnsp/|NUDCH]] počítači je zastaralá verzia ssl, preto nevie stiahnuť novú odpoveď. Vyaktualizovať openssl, alebo kopírovať odpoveď z iného počítača. Takže za B * Na počítači [[/server/studio727/devil/|Devil]] preto existuje ansible skript v ''/etc/ansible/books/ocsp_medic.yml'' ktorý sa o všetko postará. Spúšťať denne (nočne). * certifikát sa inštaluje na počítače [[server:acs:debofw|DeboFW]], [[/server/dfnsp/|NUDCH]], a asi [[server:acs:yang]]