SystemOmega

Nástroje používateľa

Nástoje správy stránok

Nachádzate sa: start » Server » SSL certifikáty
História: SSL certifikáty
server:ssl

Rozdiely

Tu môžete vidieť rozdiely medzi vybranou verziou a aktuálnou verziou danej stránky.

Odkaz na tento prehľad zmien

Next revision 		Previous revision
server:ssl [2019/02/06 15:33]
Stanislav Nízky vytvorené 		server:ssl [2019/02/06 16:49] (aktuálne)
Stanislav Nízky
Riadok 1: Riadok 1:
-====== ​Kúpené ​certifikáty ======+====== ​SSL certifikáty ====== 
 +Časť LetsEncrypt certifikátova sa dá spravovať pomocou ansible [[server:​ansible:​letsencrypt]] todo opravit link 
 +===== Zoznam certifikátov a FQDN ===== 
 +[[server:​acs:​debofw|DeboFW]]\\  
 +  * Acquisition Library of Files - Jira pre zber 3D objektov 
 +    * alf.727.sk 
 +    * alfadmin.727.sk 
 +    * alpha.727.sk 
 +  * vr4d.com - predaj 3D objektov - download server 
 +    * download.vr4d.com 
 +    * dwn.vr4d.com 
 +    * cdn.vr4d.com 
 +    * cdn1.vr4d.com 
 +    * cdnsrv1.vr4d.com 
 +    * cdnsrv2.vr4d.com 
 +    * admin.vr4d.com 
 +    * mgr.vr4d.com 
 +    * vrak.vr4d.com 
 +    * vrba.vr4d.com 
 +  * hoba - stranka hokejoveho klubu (Lacov syn v nom hraje) 
 +    * hoba.sk 
 +    * www.hoba.sk 
 +    * test2.hoba.sk 
 +  * mailserver (a webmail) pre vr4d a rodinu 
 +    * mail.vr4d.com 
 +    * mail.vr4dream.com 
 +    * mail.vr4dreams.com 
 +    * mail.vr4dimension.com 
 +  * Phabricator - bugzilla like manager 
 +    * phabricator.systemomega.com 
 +  * Vudpapzona - omega server pre detskych skolskych psychologov (problem je, ze na danom pocitaci nefunguje certbot, preto je tam na haproxy presmerovany kanal pre potvrdenie letsencrypt) 
 +    * razor.systemomega.com 
 +    * vudpapzona.systemomega.com 
 +    * vudpapdev.systemomega.com 
 +  * Portal GPN 
 +    * rezervacie.gpn.sk 
 +  * Medic certifikat, ked nemame (by sme nemali) hviezdickovy certifikat 
 +    * server.medic.sk 
 +    * kdch.medic.sk (uz niekolko rokov by malo bezat v dfnsp, na ich internom serveri, ale...) 
 +    * gpnportal.medic.sk 
 +    * gpnportaladmin.medic.sk 
 +    * proportal.medic.sk 
 +    * proportadmin.medic.sk 
 +    * kdch.medic.sk 
 +  * vr4d stranka s obchodom 
 +    * www.vr4d.com 
 +    * vr4d.com 
 +    * test.vr4d.com 
 +    * ntest.vr4d.com 
 +    * omega.vr4d.com 
 +    * casting.727.sk 
 +  * vr4dream - projekt predaja 3d objektov - asi sa neosamostatni,​ takze bude iba vr4d.com 
 +    * www.vr4dream.com 
 +    * vr4dream.com 
 +    * omega.vr4dream.com 
 +    * vr4dreams.com 
 +    * www.vr4dreams.com 
 +    * omega.vr4dreams.com 
 +    * vr3dimension.com 
 +    * www.vr3dimension.com 
 +    * omega.vr3dimension.com
  
-==== *.medic.sk ​==== +===== Kúpené certifikáty ​=====
-Pomocou príkazu\\ ''​openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj "/C=SK/ST=/​L=Bratislava/​O=Garsius,​ s.r.o./​CN=*.medic.sk"''​+
  
 +
 +=== *.medic.sk ===
 +Pomocou príkazu\\ ''​openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj "/​C=SK/​ST=/​L=Bratislava/​O=Garsius,​ s.r.o./​CN=*.medic.sk"''​\\ ​
 +vygenerujeme kľúč a žiadosť o certifikát. CSR súbor doručíme napríklad firme disig na ''​disig@disig.sk''​. Po novom budú vyžadovať potvrdenie vlastníctva domény cez mail (cez verejné záznamy nájdu asi stanislavnizky@gmail.com) a mailové potvrdenie od konateľa, že sa mu nezmenili doklady. Faktúra poštou (v 2019 sa stratila - na požiadanie poslali mailom).
 +
 +Certifikát sa v našich podmienkach terminuje v HAProxy. Preto je potrebné vykonať tieto kroky:
 +  * Vygenerovať kľúč a žiadosť (already done)
 +  * Zo dodaného zipu vybrať certifikát a do jedného súboru vlepiť postupne certifikát,​ súkromný kľúč, pomocné kľúče certifikačnej autority (CA root je v prehliadači,​ ale ním je podpísaný intermidiate kľúč CA a až ním je podpísaný náš kľúč. Tieto medzistupne preto pridávame do certifikátu,​ aby bola reťaz úplná.)
 +  * hotový pem certifikát nakopírovať na potrebné serveri do adresára ''/​etc/​haproxy/​ssl/​star.medic.sk.20XX.pem''​
 +  * Ak existuje tak je potrebné prepísať dáta v súbore ''/​etc/​haproxy/​crt-list.txt''​ Potrebné je to preto, že bez takéhoto súboru sa načítajú všetky súbory z ssl adresára a teda aj backupy po editovaní aj súbory s .old príponou a náhodne budú fungovať zastaralé kľúče.
 +  * Skontrolovať,​ či ''​haproxy.cfg''​ neobsahuje cestu k certifikátu natvrdo (bolo použité v [[/​server/​dfnsp/​|NUDCH]])
 +  * Od 2019 disig zaviedol overovanie platnosti certifikátov a rozhodol sa pre **OCSP stapling**. Webový server preto musí na vyžiadanie zaslať časovú pečiatku podpísanú vydavateľom certifikátu. Tá sa dá stiahnuť od vydavateľa,​ uložiť do súboru a pripájať k odpovedi, ale je potrebné ju aktualizovať v časovom limite jej platnosti (ASI 14 dní. netuším. neviem zistiť. ssl odpoveď hovorí, že o 6 hodín znova, ale možno vracia tú istú odpoveď).
 +  * Na to máme skript v ''/​usr/​local/​sbin/​ocsp_update.sh''​. Tento obsahuje natvrdo zadaný pem súbor v haproxy adresári. Stiahne novú pečiatku, uloží ju ako blabla.pem.ocsp,​ čo automaticky nájde haproxy (po reštarte). Za behu preto dostane špeciálny príkaz ne reload.
 +  * ocsp skript sa spúšťa každú noc, cez cron daily. Ak sa ukáže, že podpis je generovaný naozaj každých 6 hodín, tak ho bude treba nastaviť hustejšie.
 +  * Na [[/​server/​dfnsp/​|NUDCH]] počítači je zastaralá verzia ssl, preto nevie stiahnuť novú odpoveď. Vyaktualizovať openssl, alebo kopírovať odpoveď z iného počítača. Takže za B
 +  * Na počítači [[/​server/​studio727/​devil/​|Devil]] preto existuje ansible skript v ''/​etc/​ansible/​books/​ocsp_medic.yml''​ ktorý sa o všetko postará. Spúšťať denne (nočne).
 +  * certifikát sa inštaluje na počítače [[server:​acs:​debofw|DeboFW]],​ [[/​server/​dfnsp/​|NUDCH]],​ a asi [[server:​acs:​yang]]
server/ssl.1549463589.txt.gz · Posledná úprava: 2019/02/06 15:33 od Stanislav Nízky

Nástoje stránky

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki