Toto je staršia verzia dokumentu!
SSL certifikáty
Kúpené certifikáty
*.medic.sk
Pomocou príkazu
openssl req -new -newkey rsa:2048 -nodes -out star_medic_sk_20XX.csr -keyout star_medic_sk_20XX.key -subj „/C=SK/ST=/L=Bratislava/O=Garsius, s.r.o./CN=*.medic.sk“
vygenerujeme kľúč a žiadosť o certifikát. CSR súbor doručíme napríklad firme disig na disig@disig.sk
. Po novom budú vyžadovať potvrdenie vlastníctva domény cez mail (cez verejné záznamy nájdu asi stanislavnizky@gmail.com) a mailové potvrdenie od konateľa, že sa mu nezmenili doklady. Faktúra poštou (v 2019 sa stratila - na požiadanie poslali mailom).
Certifikát sa v našich podmienkach terminuje v HAProxy. Preto je potrebné vykonať tieto kroky:
Vygenerovať kľúč a žiadosť (already done)
Zo dodaného zipu vybrať certifikát a do jedného súboru vlepiť postupne certifikát, súkromný kľúč, pomocné kľúče certifikačnej autority (CA root je v prehliadači, ale ním je podpísaný intermidiate kľúč CA a až ním je podpísaný náš kľúč. Tieto medzistupne preto pridávame do certifikátu, aby bola reťaz úplná.)
hotový pem certifikát nakopírovať na potrebné serveri do adresára /etc/haproxy/ssl/star.medic.sk.20XX.pem
Ak existuje tak je potrebné prepísať dáta v súbore /etc/haproxy/crt-list.txt
Potrebné je to preto, že bez takéhoto súboru sa načítajú všetky súbory z ssl adresára a teda aj backupy po editovaní aj súbory s .old príponou a náhodne budú fungovať zastaralé kľúče.
Skontrolovať, či
haproxy.cfg
neobsahuje cestu k certifikátu natvrdo (bolo použité v
NUDCH)
Od 2019 disig zaviedol overovanie platnosti certifikátov a rozhodol sa pre OCSP stapling. Webový server preto musí na vyžiadanie zaslať časovú pečiatku podpísanú vydavateľom certifikátu. Tá sa dá stiahnuť od vydavateľa, uložiť do súboru a pripájať k odpovedi, ale je potrebné ju aktualizovať v časovom limite jej platnosti (ASI 14 dní. netuším. neviem zistiť. ssl odpoveď hovorí, že o 6 hodín znova, ale možno vracia tú istú odpoveď).
Na to máme skript v /usr/local/sbin/ocsp_update.sh
. Tento obsahuje natvrdo zadaný pem súbor v haproxy adresári. Stiahne novú pečiatku, uloží ju ako blabla.pem.ocsp, čo automaticky nájde haproxy (po reštarte). Za behu preto dostane špeciálny príkaz ne reload.
ocsp skript sa spúšťa každú noc, cez cron daily. Ak sa ukáže, že podpis je generovaný naozaj každých 6 hodín, tak ho bude treba nastaviť hustejšie.
Na
NUDCH počítači je zastaralá verzia ssl, preto nevie stiahnuť novú odpoveď. Vyaktualizovať openssl, alebo kopírovať odpoveď z iného počítača. Takže za B
Na počítači
Devil preto existuje ansible skript v
/etc/ansible/books/ocsp_medic.yml
ktorý sa o všetko postará. Spúšťať denne (nočne).
-