Discussion:
[e64] neues Root-CA
(zu alt für eine Antwort)
Detlef Paschke
2020-05-22 11:59:37 UTC
Permalink
Hallo an alle,

mein Eisfair64 unter Proxmox läuft ja momentan richtig geschmeidig,
alles macht klaglos seine Arbeit, alles ist schick... fast alles.

Was mich noch etwas stört, ich habe hier im internen Netzwerk zwei
Root-CA-Zertifikate.
Das eigentliche und bestehen bleiben sollende Root-CA habe ich mit einem
Win-Tool (X Certificate and Key manager) erstellt und "unter" oder mit
diesem fast alle Serverzertifikate die hier so benutzt werden
(Webinterface vom Drucker, KVM-Schnittstelle vom Server,
Proxmoxoberfläche...) erstellt.

Bei Eisfair64 habe ich ganz normal, nach der Doku ein Eisfair64-Root-CA
erstellt, dann damit ein Serverzertifikat und entsprechend Symlinks
darauf für andere Dienste auf Eisfair64.

Sinnvoll fände ich es jetzt, auf Eisfair kein extra Root-CA zu haben.

Im Grunde müsste ich doch mit "create certificate request" auf Eisfair64
einen Zertifikatsantrag (ist glaube ich eine *.csr Datei) stellen, und
diesen dann mit dem Root-CA bearbeiten welches bestehen bleiben soll.?
Unter /etc/ssl/csr/ liegt auch noch eine eisfair64.home.lan.csr von der
ich annehme, dass ich die gleich benutzen könnte.?

Aber wie bekomme ich das Zertifikat dann in Eisfair64 wieder rein? Und
es liegen unter /etc/ssl/csr/ auch noch etliche andere
eisfair64.home.lan.* Dateien, *.der, *.pem, *.crt, *.key was mache ich
mit denen?

Ich müsste doch auch das Root-CA auf Eisfair64 irgendwie entfernen, da
finde ich gerade gar nichts.

Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Meine "Merkzettel"
http://www.helpdesk.goip.de
Juergen Edner
2020-05-22 12:56:22 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
Sinnvoll fände ich es jetzt, auf Eisfair kein extra Root-CA zu haben.
kein Problem.
Post by Detlef Paschke
Im Grunde müsste ich doch mit "create certificate request" auf Eisfair64
einen Zertifikatsantrag (ist glaube ich eine *.csr Datei) stellen, und
diesen dann mit dem Root-CA bearbeiten welches bestehen bleiben soll.?
Unter /etc/ssl/csr/ liegt auch noch eine eisfair64.home.lan.csr von der
ich annehme, dass ich die gleich benutzen könnte.?
Wenn der FQDN Deines Servers so lautet, könntest Du in der Tat diese
csr.Datei verwenden. Die zentrale Zertifikatsable sollte sich im
Verzeichnis /usr/local/ssl befinden und /etc/ssl sollte ein symbolischer
Link sein der auf das zuvor genannte Verzeichnis verweisßt.
Post by Detlef Paschke
Aber wie bekomme ich das Zertifikat dann in Eisfair64 wieder rein? Und
es liegen unter /etc/ssl/csr/ auch noch etliche andere
eisfair64.home.lan.* Dateien, *.der, *.pem, *.crt, *.key was mache ich
mit denen?
Zu einer csr-Datei gehört auch immer eine key-Datei welche Du
logischerweise behalten solltest. Die anderen Dateien kannst
Du erst einmal in ein separates Verzeichnis verschieben.
Da Du den eisfair-Server NICHT als CAp-Root verwenden willst,
solltests Du darüber hinaus unbedingt CERTS_CA_HOME=no setzen,
damit die Funktionen zum Signieren von Zertfikaten deaktiviert
werden.
Post by Detlef Paschke
Ich müsste doch auch das Root-CA auf Eisfair64 irgendwie entfernen, da
finde ich gerade gar nichts.
/usr/local/ssl/certs/ca.pem usw. ;-)

Gruß Jürgen
--
Mail: ***@eisfair.org
Detlef Paschke
2020-05-22 20:14:56 UTC
Permalink
Post by Juergen Edner
Hallo Detlef,
Hallo Jürgen,
Post by Juergen Edner
Post by Detlef Paschke
Unter /etc/ssl/csr/ liegt auch noch eine eisfair64.home.lan.csr von der
ich annehme, dass ich die gleich benutzen könnte.?
Wenn der FQDN Deines Servers so lautet, könntest Du in der Tat diese
csr.Datei verwenden. Die zentrale Zertifikatsable sollte sich im
Verzeichnis /usr/local/ssl befinden und /etc/ssl sollte ein symbolischer
Link sein der auf das zuvor genannte Verzeichnis verweisßt.
ja, es geht hier nur um die lokalen Dienste um da die nervige Meldung
von wegen unsicherer Verbindung nicht zu haben.
Post by Juergen Edner
Da Du den eisfair-Server NICHT als CAp-Root verwenden willst,
solltests Du darüber hinaus unbedingt CERTS_CA_HOME=no setzen,
damit die Funktionen zum Signieren von Zertfikaten deaktiviert
werden.
Gut zu wissen, werde ich dann so einstellen.
Post by Juergen Edner
Post by Detlef Paschke
Ich müsste doch auch das Root-CA auf Eisfair64 irgendwie entfernen, da
finde ich gerade gar nichts.
/usr/local/ssl/certs/ca.pem usw. ;-)
Das es da ist wusste ich, ich dachte nur, das ich es irgend wo bei
"Manage certifcates" abschalten, deaktivieren oder löschen muss.
Post by Juergen Edner
Gruß Jürgen
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Meine "Merkzettel"
http://www.helpdesk.goip.de
Juergen Edner
2020-05-23 09:05:46 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
Post by Juergen Edner
Post by Detlef Paschke
Ich müsste doch auch das Root-CA auf Eisfair64 irgendwie entfernen, da
finde ich gerade gar nichts.
/usr/local/ssl/certs/ca.pem usw. ;-)
Das es da ist wusste ich, ich dachte nur, das ich es irgend wo bei
"Manage certifcates" abschalten, deaktivieren oder löschen muss.
eine Funktion zum Löschen des eigenen Root-CA gibt es bewusst nicht,
um sich hier nicht selbst in die Nesseln u setzen. Da musst Du von
Hand eine Bereinigung durchführen.

find /usr/local/ssl/ -name "ca\.*"

Gruß Jürgen
--
Mail: ***@eisfair.org
Detlef Paschke
2020-05-23 14:04:23 UTC
Permalink
Post by Juergen Edner
Hallo Detlef,
Hallo Juergen,
Post by Juergen Edner
Post by Detlef Paschke
Post by Juergen Edner
/usr/local/ssl/certs/ca.pem usw. ;-)
Das es da ist wusste ich, ich dachte nur, das ich es irgend wo bei
"Manage certifcates" abschalten, deaktivieren oder löschen muss.
eine Funktion zum Löschen des eigenen Root-CA gibt es bewusst nicht,
um sich hier nicht selbst in die Nesseln u setzen. Da musst Du von
Hand eine Bereinigung durchführen.
find /usr/local/ssl/ -name "ca\.*"
ich denke, dass werde ich schaffen aber noch eine Frage.

Ich habe mich heute den ganzen Tag hingesetzt, und für das ganze lokale
Netz noch einmal ein "sauberes" Root-CA (dieses mal ohne jeden
Tippfehler) und darunter die jeweiligen Server-Zertifikate erstellt.
Alle Maschinen sind versorgt, Drucker, Proxmox, Webmin...
Das Zertifikat für Eisfair ist auch erstellt.
In welchem Format hätte es Eisfair denn am liebsten?
Das üblichste was ich hier so hatte war Pem (*.crt) oder Pem-Kette (*.pem).
Post by Juergen Edner
Gruß Jürgen
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Meine "Merkzettel"
http://www.helpdesk.goip.de
Juergen Edner
2020-05-23 15:50:13 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
In welchem Format hätte es Eisfair denn am liebsten?
Das üblichste was ich hier so hatte war Pem (*.crt) oder Pem-Kette (*.pem).
die Serverzertifikate bestehen üblicherweise aus dem Schlüssel,
den Diffie-Hellman-Parametern und dem Zertifikat selbst.

-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----
-----BEGIN DH PARAMETERS-----
...
-----END DH PARAMETERS-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Die erzeugten Dateien sollten dann als *.pem-Datei im certs-
Verzeichnis abgelegt werden.

Gruß Jürgen
--
Mail: ***@eisfair.org
Detlef Paschke
2020-05-24 11:56:48 UTC
Permalink
Post by Juergen Edner
Hallo Detlef,
Hallo Juergen,
Post by Juergen Edner
die Serverzertifikate bestehen üblicherweise aus dem Schlüssel,
den Diffie-Hellman-Parametern und dem Zertifikat selbst.
-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----
-----BEGIN DH PARAMETERS-----
...
-----END DH PARAMETERS-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
als kleiner Endbericht, es hat erst mal alles geklappt.

Mutig wie ich war, habe ich alles was zu meinem bisherigen eigenen
Zertifikat auf eisfair64 gehört hat gelöscht und dann ganz nach Doku
eine neue Server-Zertifikatsanforderung gestellt.

Diese *.csr habe ich dann mit XCA - X Certificate and Key Management und
meinem neuen Root-CA unterschrieben.
Create Diffie-Hellman habe ich wieder von Certs machen lassen, weil XCA
auch nur eine externe Datei *.dh erstellt.
Zusammenstricken musste ich die *.pem dann mit Notepad++ weil XCA zwar
durchaus eine Pem + Key erstellt aber nicht mit Diffie-Hellman.

Die neue Zertifikatsdatei habe ich dann nach /usr/local/ssl/certs/
kopiert und noch einmal Update certs/crl hashes ausgeführt, aber das hat
noch nicht so ganz funktioniert.
Mail, Apache wollten nicht. Das aktuelle Root-CA musste auch noch nach
/usr/local/ssl/certs/. Auf allen anderen Geräten (Diensten) hier liegt
nur das jeweilige Zertifikat und auf dem Klient das Root-CA unter
Vertrauenswürdige Zertifizierungsstelle.
Post by Juergen Edner
Gruß Jürgen
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Meine "Merkzettel"
http://www.helpdesk.goip.de
Loading...