Nástroje používateľa

Nástoje správy stránok


server:ssl

Toto je staršia verzia dokumentu!


Kúpené certifikáty

*.medic.sk

Pomocou príkazu
openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj „/C=SK/ST=/L=Bratislava/O=Garsius, s.r.o./CN=*.medic.sk“
vygenerujeme kľúč a žiadosť o certifikát. CSR súbor doručíme napríklad firme disig na disig@disig.sk. Po novom budú vyžadovať potvrdenie vlastníctva domény cez mail (cez verejné záznamy nájdu asi stanislavnizky@gmail.com) a mailové potvrdenie od konateľa, že sa mu nezmenili doklady. Faktúra poštou (v 2019 sa stratila - na požiadanie poslali mailom).

Certifikát sa v našich podmienkach terminuje v HAProxy. Preto je potrebné vykonať tieto kroky:

  • Vygenerovať kľúč a žiadosť (already done)
  • Zo dodaného zipu vybrať certifikát a do jedného súboru vlepiť postupne certifikát, súkromný kľúč, pomocné kľúče certifikačnej autority (CA root je v prehliadači, ale ním je podpísaný intermidiate kľúč CA a až ním je podpísaný náš kľúč. Tieto medzistupne preto pridávame do certifikátu, aby bola reťaz úplná.)
  • hotový pem certifikát nakopírovať na potrebné serveri do adresára /etc/haproxy/ssl/star.medic.sk.20XX.pem
  • Ak existuje tak je potrebné prepísať dáta v súbore /etc/haproxy/crt-list.txt Potrebné je to preto, že bez takéhoto súboru sa načítajú všetky súbory z ssl adresára a teda aj backupy po editovaní aj súbory s .old príponou a náhodne budú fungovať zastaralé kľúče.
  • Skontrolovať, či haproxy.cfg neobsahuje cestu k certifikátu natvrdo (bolo použité v NUDCH)
  • Od 2019 disig zaviedol overovanie platnosti certifikátov a rozhodol sa pre OCSP stapling. Webový server preto musí na vyžiadanie zaslať časovú pečiatku podpísanú vydavateľom certifikátu. Tá sa dá stiahnuť od vydavateľa, uložiť do súboru a pripájať k odpovedi, ale je potrebné ju aktualizovať v časovom limite jej platnosti (ASI 14 dní. netuším. neviem zistiť. ssl odpoveď hovorí, že o 6 hodín znova, ale možno vracia tú istú odpoveď).
  • Na to máme skript v /usr/local/sbin/ocsp_update.sh. Tento obsahuje natvrdo zadaný pem súbor v haproxy adresári. Stiahne novú pečiatku, uloží ju ako blabla.pem.ocsp, čo automaticky nájde haproxy (po reštarte). Za behu preto dostane špeciálny príkaz ne reload.
  • ocsp skript sa spúšťa každú noc, cez cron daily. Ak sa ukáže, že podpis je generovaný naozaj každých 6 hodín, tak ho bude treba nastaviť hustejšie.
  • Na NUDCH počítači je zastaralá verzia ssl, preto nevie stiahnuť novú odpoveď. Vyaktualizovať openssl, alebo kopírovať odpoveď z iného počítača. Takže za B
  • Na počítači Devil preto existuje ansible skript v /etc/ansible/books/ocsp_medic.yml ktorý sa o všetko postará. Spúšťať denne (nočne).
  • certifikát sa inštaluje na počítače DeboFW, NUDCH, a asi yang
server/ssl.1549466268.txt.gz · Posledná úprava: 2019/02/06 16:17 od Stanislav Nízky