SystemOmega

Nástroje používateľa

Nástoje správy stránok

Nachádzate sa: start » Server » SSL certifikáty
História: Segmenter DokuWiki SystemOmega - nastavenie DokuWiki SSL certifikáty
server:ssl

Obsah

SSL certifikáty

Časť LetsEncrypt certifikátova sa dá spravovať pomocou ansible letsencrypt todo opravit link

Zoznam certifikátov a FQDN

DeboFW

  • Acquisition Library of Files - Jira pre zber 3D objektov
    • alf.727.sk
    • alfadmin.727.sk
    • alpha.727.sk
  • vr4d.com - predaj 3D objektov - download server
    • download.vr4d.com
    • dwn.vr4d.com
    • cdn.vr4d.com
    • cdn1.vr4d.com
    • cdnsrv1.vr4d.com
    • cdnsrv2.vr4d.com
    • admin.vr4d.com
    • mgr.vr4d.com
    • vrak.vr4d.com
    • vrba.vr4d.com
  • hoba - stranka hokejoveho klubu (Lacov syn v nom hraje)
  • mailserver (a webmail) pre vr4d a rodinu
    • mail.vr4d.com
    • mail.vr4dream.com
    • mail.vr4dreams.com
    • mail.vr4dimension.com
  • Phabricator - bugzilla like manager
    • phabricator.systemomega.com
  • Vudpapzona - omega server pre detskych skolskych psychologov (problem je, ze na danom pocitaci nefunguje certbot, preto je tam na haproxy presmerovany kanal pre potvrdenie letsencrypt)
    • razor.systemomega.com
    • vudpapzona.systemomega.com
    • vudpapdev.systemomega.com
  • Portal GPN
    • rezervacie.gpn.sk
  • Medic certifikat, ked nemame (by sme nemali) hviezdickovy certifikat
    • server.medic.sk
    • kdch.medic.sk (uz niekolko rokov by malo bezat v dfnsp, na ich internom serveri, ale…)
    • gpnportal.medic.sk
    • gpnportaladmin.medic.sk
    • proportal.medic.sk
    • proportadmin.medic.sk
    • kdch.medic.sk
  • vr4d stranka s obchodom
    • www.vr4d.com
    • vr4d.com
    • test.vr4d.com
    • ntest.vr4d.com
    • omega.vr4d.com
    • casting.727.sk
  • vr4dream - projekt predaja 3d objektov - asi sa neosamostatni, takze bude iba vr4d.com

Kúpené certifikáty

*.medic.sk

Pomocou príkazu
openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj „/C=SK/ST=/L=Bratislava/O=Garsius, s.r.o./CN=*.medic.sk“
vygenerujeme kľúč a žiadosť o certifikát. CSR súbor doručíme napríklad firme disig na disig@disig.sk. Po novom budú vyžadovať potvrdenie vlastníctva domény cez mail (cez verejné záznamy nájdu asi stanislavnizky@gmail.com) a mailové potvrdenie od konateľa, že sa mu nezmenili doklady. Faktúra poštou (v 2019 sa stratila - na požiadanie poslali mailom).

Certifikát sa v našich podmienkach terminuje v HAProxy. Preto je potrebné vykonať tieto kroky:

  • Vygenerovať kľúč a žiadosť (already done)
  • Zo dodaného zipu vybrať certifikát a do jedného súboru vlepiť postupne certifikát, súkromný kľúč, pomocné kľúče certifikačnej autority (CA root je v prehliadači, ale ním je podpísaný intermidiate kľúč CA a až ním je podpísaný náš kľúč. Tieto medzistupne preto pridávame do certifikátu, aby bola reťaz úplná.)
  • hotový pem certifikát nakopírovať na potrebné serveri do adresára /etc/haproxy/ssl/star.medic.sk.20XX.pem
  • Ak existuje tak je potrebné prepísať dáta v súbore /etc/haproxy/crt-list.txt Potrebné je to preto, že bez takéhoto súboru sa načítajú všetky súbory z ssl adresára a teda aj backupy po editovaní aj súbory s .old príponou a náhodne budú fungovať zastaralé kľúče.
  • Skontrolovať, či haproxy.cfg neobsahuje cestu k certifikátu natvrdo (bolo použité v NUDCH)
  • Od 2019 disig zaviedol overovanie platnosti certifikátov a rozhodol sa pre OCSP stapling. Webový server preto musí na vyžiadanie zaslať časovú pečiatku podpísanú vydavateľom certifikátu. Tá sa dá stiahnuť od vydavateľa, uložiť do súboru a pripájať k odpovedi, ale je potrebné ju aktualizovať v časovom limite jej platnosti (ASI 14 dní. netuším. neviem zistiť. ssl odpoveď hovorí, že o 6 hodín znova, ale možno vracia tú istú odpoveď).
  • Na to máme skript v /usr/local/sbin/ocsp_update.sh. Tento obsahuje natvrdo zadaný pem súbor v haproxy adresári. Stiahne novú pečiatku, uloží ju ako blabla.pem.ocsp, čo automaticky nájde haproxy (po reštarte). Za behu preto dostane špeciálny príkaz ne reload.
  • ocsp skript sa spúšťa každú noc, cez cron daily. Ak sa ukáže, že podpis je generovaný naozaj každých 6 hodín, tak ho bude treba nastaviť hustejšie.
  • Na NUDCH počítači je zastaralá verzia ssl, preto nevie stiahnuť novú odpoveď. Vyaktualizovať openssl, alebo kopírovať odpoveď z iného počítača. Takže za B
  • Na počítači Devil preto existuje ansible skript v /etc/ansible/books/ocsp_medic.yml ktorý sa o všetko postará. Spúšťať denne (nočne).
  • certifikát sa inštaluje na počítače DeboFW, NUDCH, a asi yang
server/ssl.txt · Posledná úprava: 2019/02/06 16:49 od Stanislav Nízky

Nástoje stránky

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki