meta data stránky
  •  

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
networking:certifikaty:start [2023/02/08 15:43] Pavel Formáneknetworking:certifikaty:start [2024/02/16 11:35] (aktuální) – [Certifikát pro SOPHOS] Pavel Formánek
Řádek 4: Řádek 4:
 Certifikáty se musí obnovovat na těchto serverech: Certifikáty se musí obnovovat na těchto serverech:
  
-  * crom 
   * http   * http
   * era   * era
Řádek 20: Řádek 19:
   * spock   * spock
   * gitlab   * gitlab
 +
 +Na většině z nich potřebu ohlásí Nagios 14 dní předem.
  
 Na všech serverech kde to jde jsem vytvořil skript ''cert_renew'' v home root. Na všech serverech kde to jde jsem vytvořil skript ''cert_renew'' v home root.
  
-Po spuštění skriptu by se měly vykonat všechny požadované úkony pro obnovení certifikátu. Někdy je však nutný ruční zásah. Pro tyto potřeby slouží program certbot.  Po ručních změnách je nutné restartovat služby, které certifikát používají pomocí příkazů ''systemctl'', nebo ''service'', podle verze linuxu.+Po spuštění skriptu by se měly vykonat všechny požadované úkony pro obnovení certifikátu. Někdy je však nutný ruční zásah. Pro tyto potřeby slouží program ''certbot''.  Po ručních změnách je nutné restartovat služby, které certifikát používají pomocí příkazů ''systemctl'', nebo ''service'', podle verze linuxu. 
 + 
 +Pro obnovu certifikátu na firewallu SOPHOS je vytvořen speciální postup: 
 + 
 +===== Certifikát pro SOPHOS ===== 
 + 
 +Certifikát je nutné obnovit přes DNS ručně: 
 +-------------------------------------------- 
 + 
 +**1.) Spustit příkaz:** 
 + 
 +    certbot certonly --manual --preferred-challenges dns  -d spock.it.cas.cz -d zuul.it.cas.cz 
 + 
 +Výstup bude asi takovýto: 
 + 
 +  Please deploy a DNS TXT record under the name:  
 +   
 +  _acme-challenge.zuul.it.cas.cz. 
 +   
 +  with the following value: 
 +   
 +  UkogpcNJVFawP6-QGbkuU6YlwWdld0YBVxJR4JvfUMI 
 + 
 + 
 + 
 + 
 + 
 +**2.) Na serveru servant** 
 + 
 +Editovat soubor **/var/named/data/it.cas.cz.zone**: 
 + 
 +                                2023081506       ; sn=serial number 
 +                                        ^^ zvýšit alespoň o 2 
 + 
 +před řádek  
 +  ;---------------- ALIASES ------------------ 
 +přidat řádek, nebo editovat hodnotu, pokud řádek existuje 
 + 
 +  _acme-challenge.zuul    IN      TXT     "UkogpcNJVFawP6-QGbkuU6YlwWdld0YBVxJR4JvfUMI" 
 +kde text v uvozovkách je shodný s výpisem certbotu  
 + 
 +**3.) Na serveru servant** 
 + 
 +Spustit příkaz: 
 + 
 +  service named restart 
 + 
 +počkat asi 5 min. na odpropagování DNS záznamů 
 + 
 + 
 +**4.) Na počítači se spuštěným certbotem pokračovat v generování certifikátu** 
 + 
 +Po vygenerování certifikátu zkopírovat soubory! //(ne jen linky)// 
 +    ''fullchain.pem'' a  ''privkey.pem''  
 +kamkoli a na novém místě: 
 +    chmod a+r *.pem 
 +    mv privkey.pem privkey.key 
 + 
 +Nyní je možné vrátit zpět změny v souboru na servant. 
 + 
 +**5.) Importovat soubory do SOPHOSU:** 
 + 
 + ''Menu'' ''Certificates'', ''ADD'' 
 + 
 +**     ---------------- A JE TO ! ------------------------**
  
-Pro obnovu certifikátu na firewallu SOPHOS je vytvořen speciální skript...