SSL certifikáty

Časť LetsEncrypt certifikátova sa dá spravovať pomocou ansible letsencrypt todo opravit link

DeboFW

• Acquisition Library of Files - Jira pre zber 3D objektov
  • alf.727.sk
  • alfadmin.727.sk
  • alpha.727.sk
• vr4d.com - predaj 3D objektov - download server
  • download.vr4d.com
  • dwn.vr4d.com
  • cdn.vr4d.com
  • cdn1.vr4d.com
  • cdnsrv1.vr4d.com
  • cdnsrv2.vr4d.com
  • admin.vr4d.com
  • mgr.vr4d.com
  • vrak.vr4d.com
  • vrba.vr4d.com
• hoba - stranka hokejoveho klubu (Lacov syn v nom hraje)
  • hoba.sk
  • www.hoba.sk
  • test2.hoba.sk
• mailserver (a webmail) pre vr4d a rodinu
  • mail.vr4d.com
  • mail.vr4dream.com
  • mail.vr4dreams.com
  • mail.vr4dimension.com
• Phabricator - bugzilla like manager
  • phabricator.systemomega.com
• Vudpapzona - omega server pre detskych skolskych psychologov (problem je, ze na danom pocitaci nefunguje certbot, preto je tam na haproxy presmerovany kanal pre potvrdenie letsencrypt)
  • razor.systemomega.com
  • vudpapzona.systemomega.com
  • vudpapdev.systemomega.com
• Portal GPN
  • rezervacie.gpn.sk
• Medic certifikat, ked nemame (by sme nemali) hviezdickovy certifikat
  • server.medic.sk
  • kdch.medic.sk (uz niekolko rokov by malo bezat v dfnsp, na ich internom serveri, ale…)
  • gpnportal.medic.sk
  • gpnportaladmin.medic.sk
  • proportal.medic.sk
  • proportadmin.medic.sk
  • kdch.medic.sk
• vr4d stranka s obchodom
  • www.vr4d.com
  • vr4d.com
  • test.vr4d.com
  • ntest.vr4d.com
  • omega.vr4d.com
  • casting.727.sk
• vr4dream - projekt predaja 3d objektov - asi sa neosamostatni, takze bude iba vr4d.com
  • www.vr4dream.com
  • vr4dream.com
  • omega.vr4dream.com
  • vr4dreams.com
  • www.vr4dreams.com
  • omega.vr4dreams.com
  • vr3dimension.com
  • www.vr3dimension.com
  • omega.vr3dimension.com

Pomocou príkazu
openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj „/C=SK/ST=/L=Bratislava/O=Garsius, s.r.o./CN=*.medic.sk“
vygenerujeme kľúč a žiadosť o certifikát. CSR súbor doručíme napríklad firme disig na disig@disig.sk. Po novom budú vyžadovať potvrdenie vlastníctva domény cez mail (cez verejné záznamy nájdu asi stanislavnizky@gmail.com) a mailové potvrdenie od konateľa, že sa mu nezmenili doklady. Faktúra poštou (v 2019 sa stratila - na požiadanie poslali mailom).

Certifikát sa v našich podmienkach terminuje v HAProxy. Preto je potrebné vykonať tieto kroky:

• Vygenerovať kľúč a žiadosť (already done)
• Zo dodaného zipu vybrať certifikát a do jedného súboru vlepiť postupne certifikát, súkromný kľúč, pomocné kľúče certifikačnej autority (CA root je v prehliadači, ale ním je podpísaný intermidiate kľúč CA a až ním je podpísaný náš kľúč. Tieto medzistupne preto pridávame do certifikátu, aby bola reťaz úplná.)
• hotový pem certifikát nakopírovať na potrebné serveri do adresára /etc/haproxy/ssl/star.medic.sk.20XX.pem
• Ak existuje tak je potrebné prepísať dáta v súbore /etc/haproxy/crt-list.txt Potrebné je to preto, že bez takéhoto súboru sa načítajú všetky súbory z ssl adresára a teda aj backupy po editovaní aj súbory s .old príponou a náhodne budú fungovať zastaralé kľúče.
• Skontrolovať, či haproxy.cfg neobsahuje cestu k certifikátu natvrdo (bolo použité v NUDCH)
• Od 2019 disig zaviedol overovanie platnosti certifikátov a rozhodol sa pre OCSP stapling. Webový server preto musí na vyžiadanie zaslať časovú pečiatku podpísanú vydavateľom certifikátu. Tá sa dá stiahnuť od vydavateľa, uložiť do súboru a pripájať k odpovedi, ale je potrebné ju aktualizovať v časovom limite jej platnosti (ASI 14 dní. netuším. neviem zistiť. ssl odpoveď hovorí, že o 6 hodín znova, ale možno vracia tú istú odpoveď).
• Na to máme skript v /usr/local/sbin/ocsp_update.sh. Tento obsahuje natvrdo zadaný pem súbor v haproxy adresári. Stiahne novú pečiatku, uloží ju ako blabla.pem.ocsp, čo automaticky nájde haproxy (po reštarte). Za behu preto dostane špeciálny príkaz ne reload.
• ocsp skript sa spúšťa každú noc, cez cron daily. Ak sa ukáže, že podpis je generovaný naozaj každých 6 hodín, tak ho bude treba nastaviť hustejšie.
• Na NUDCH počítači je zastaralá verzia ssl, preto nevie stiahnuť novú odpoveď. Vyaktualizovať openssl, alebo kopírovať odpoveď z iného počítača. Takže za B
• Na počítači Devil preto existuje ansible skript v /etc/ansible/books/ocsp_medic.yml ktorý sa o všetko postará. Spúšťať denne (nočne).
• certifikát sa inštaluje na počítače DeboFW, NUDCH, a asi yang