meta data stránky
  •  
Překlady této stránky:

Certifikáty

Na serverech ÚT, tam kde je to možné používáme certifikáty od Letsencrypt. Cerifikáty se musí pravidelně obnovovat. V současné době vydává Letsencrypt serverové certifikáty s dobou platnosti pouhých 90 dní.

Certifikáty se musí obnovovat na těchto serverech:

  • http
  • era
  • licserv
  • pandora
  • shelob
  • shelob2
  • tar
  • hat
  • mx1
  • mx2
  • slave
  • unifi
  • eye
  • spock
  • gitlab

Na většině z nich potřebu ohlásí Nagios 14 dní předem.

Na všech serverech kde to jde jsem vytvořil skript cert_renew v home root.

Po spuštění skriptu by se měly vykonat všechny požadované úkony pro obnovení certifikátu. Někdy je však nutný ruční zásah. Pro tyto potřeby slouží program certbot. Po ručních změnách je nutné restartovat služby, které certifikát používají pomocí příkazů systemctl, nebo service, podle verze linuxu.

Pro obnovu certifikátu na firewallu SOPHOS je vytvořen speciální postup:

Certifikát pro SOPHOS

Certifikát je nutné obnovit přes DNS ručně:

1.) Spustit příkaz: 

  certbot certonly --manual --preferred-challenges dns  -d spock.it.cas.cz -d zuul.it.cas.cz

Výstup bude asi takovýto: 

Please deploy a DNS TXT record under the name: 

_acme-challenge.zuul.it.cas.cz.

with the following value:

UkogpcNJVFawP6-QGbkuU6YlwWdld0YBVxJR4JvfUMI

2.) Na serveru servant

Editovat soubor /var/named/data/it.cas.cz.zone: 

                              2023081506       ; sn=serial number
                                      ^^ zvýšit alespoň o 2

před řádek 

;---------------- ALIASES ------------------

přidat řádek, nebo editovat hodnotu, pokud řádek existuje 

_acme-challenge.zuul    IN      TXT     "UkogpcNJVFawP6-QGbkuU6YlwWdld0YBVxJR4JvfUMI"

kde text v uvozovkách je shodný s výpisem certbotu

3.) Na serveru servant

Spustit příkaz: 

service named restart

počkat asi 5 min. na odpropagování DNS záznamů

4.) Na počítači se spuštěným certbotem pokračovat v generování certifikátu

Po vygenerování certifikátu zkopírovat soubory! (ne jen linky) 

  ''fullchain.pem'' a  ''privkey.pem''

kamkoli a na novém místě: 

  chmod a+r *.pem
  mv privkey.pem privkey.key

Nyní je možné vrátit zpět změny v souboru na servant.

5.) Importovat soubory do SOPHOSU:

Menu Certificates, ADD

—————- A JE TO ! ————————