SSL/TLS-Zertifikate
Neuer HU-interner ACME-Dienst für den Bezug von SSL-Zertifikaten. SSL-Zertifikat ohne ACME siehe unten.
Voraussetzungen zur Nutzung des ACME-Dienstes
Um Zertifikate zu beziehen und automatisch zu erneuern benötigen Sie die Software certbot.
Bitte installieren Sie diese mittels ihres Packetmanagers (apt, yum, dnf, pkg)
Windows Serverbetreibenden empfehlen wir die Nutzung von "simple-acme"
Account Registrierung & Zertifikatsbeantragung
Unter Linux/Unix/BSD:
Registrierung am ACME-Server:
certbot register -m admin-mail@hu-berlin.de --server https://botcert.uvf.hu-berlin.de/directory
Zertifikat beziehen:
certbot run -m admin-mail@hu-berlin.de --server https://botcert.uvf.hu-berlin.de/directory -d meinServer.hu-berlin.de -d meinAlias.hu-berlin.de
Bitte beachten:
- die Admin-Mail bekommt Benachrichtigungen, bitte unbedingt eine gültige Adresse angeben,
die gelesen wird! - -d gibt die Namen an, für die ein Zertifikat angefordert wird, diese Namen müssen im DNS
auf Ihren Server zeigen! - certbot run ruft ein Zertifikat ab und installiert es, ggf können auch Alternativen genutzt werden,
siehe Dokumentation oder FAQ
Unter Windows:
Registrierung am ACME-Server:
./wacs.exe --register --emailaddress admin-mail@hu-berlin.de --baseuri "https://botcert.uvf.hu-berlin.de/directory"
Zertifikat beziehen:
./wacs.exe --baseuri "https://botcert.uvf.hu-berlin.de/directory" --source manual --host meinServer.hu-berlin.de,meinAlias.hu-berlin.de
Bitte beachten:
- --source manual beantragt nur das Zertifikat, weitere Optionen siehe Dokumentation
-
simple-acme speichert das Zertifikat im Windows Zertifikatsspeicher
Sonderfall manuelle Freischaltung
Registrieren Sie sich am ACME Server s.o.
Lesen Sie nun Ihre Account-ID aus, oder notieren Sie die admin-mail, so Sie nur einen
Account verwenden.
Account auslesen unter Linux:
cat /etc/letsencrypt/accounts/botcert.uvf.hu-berlin.de/directory/*/regr.json
Der urn:uuid: Teil ist der entsprechende Account.
Account auslesen unter Windows (pwsh):
cat C:\ProgramData\simple-acme\botcert.uvf.hu-berlin.de*\Registration_v2
Der urn:uuid: Teil ist der entsprechende Account.
Wenden Sie sich nun mit ihrem Account an hostmaster @ hu-berlin.de unter Nennung
der gewünschten Domain.
Account Details anzeigen
Wenn Sie ihre Account-ID haben (s.o.):
curl https://botcert.uvf.hu-berlin.de/account/urn:uuid:ihre-account-id-hier
Dort sehen Sie auch die hinterlegte Admin-Mail-Adresse.
ACME-FAQ
Ich habe keinen Webserver
Certbot kann einen eingebauten Webserver nutzen, zB:
(sudo) certbot certonly --standalone --server https:// botcert.uvf.hu-berlin.de/directory --no-eff-email -m admin-mail@hu-berlin.de -d meinServer.hu-berlin.de
Ich habe einen konfigurierten Webserver und möchte diesen nutzen
Nutzen Sie die Option webroot und Achten sie darauf, dass Ihr Webserver
versteckte Ordner ausliefert!.
Sollte /.well-known von Ihrem Webserver besonders behandelt werden, stellen Sie sicher das Dateien unter: /.well-known/acmechallenge
von Ihrem Server ausgeliefert werden. Beispiel:
(sudo) certbot certonly https://botcert.uvf.hu-berlin.de/ directory --no-eff-email -m admin-mail@hu-berlin.de --webroot -w /var/www/meinServer -d meinServer.hu-berlin.de
Mein Server steht im Verwaltungsnetz
Bitte eine direkte Verbindung zum acme-Server bei noc@ beantragen und _nicht_
den Weg über den Webproxy gehen.
Ich erhalte Timeouts: (read timeout=45)
Folgender Fehler zeigt sich:
An unexpected error occurred:
requests.exceptions.ReadTimeout: HTTPSConnectionPool(host='botcert.uvf.hu-berlin.de', port=443): Read timed out. (read timeout=45)
Entweder versuchen Sie es (später) erneut oder erhöhen den Timout von letsencrypt:
Je nach Installationsort unter:
/usr/lib/python3/dist-packages/acme/client.py
=> DEFAULT_NETWORK_TIMEOUT = 45
SSL-Zertifikat ohne ACME
Nutzen Sie möglichst den oben beschrieben ACME-Dienst um automatisiert SSL-Zertifikate für ihre Webserver zu beziehen. Die Gültigkeitszeiträume für SSL-Zertifikate werden absehbar immer kürzer. Wenn es Ihnen nicht möglich ist auf das automatisierte ACME-Verfahren umzustellen, können Sie weiterhin ein händisches Verfahren nutzen. Hier kann es aber zu zeitlichen Verzögerungen kommen. Reichen Sie dazu wie in der Anleitung beschrieben einen CSR (Certificate Signing Request) bei unserer neuen CA (HARICA) ein.
Bei Fragen wenden Sie sich Kontakt.