Dokumentace ÚT AV ČR
Dokumentace ÚT AV ČR
Toto je starší verze dokumentu!
Na serverech ÚT, tam kde je to možné používáme certifikáty od Letsencrypt. Cerifikáty se musí pravidelně obnovovat. V současné době vydává Letsencrypt serverové certifikáty s dobou platnosti pouhých 90 dní.
Certifikáty se musí obnovovat na těchto serverech:
Na většině z nich potřebu ohlásí Nagios 14 dní předem.
Na všech serverech kde to jde jsem vytvořil skript cert_renew v home root.
Po spuštění skriptu by se měly vykonat všechny požadované úkony pro obnovení certifikátu. Někdy je však nutný ruční zásah. Pro tyto potřeby slouží program certbot. Po ručních změnách je nutné restartovat služby, které certifikát používají pomocí příkazů systemctl, nebo service, podle verze linuxu.
Pro obnovu certifikátu na firewallu SOPHOS je vytvořen speciální postup:
Certifikát je nutné obnovit přes DNS ručně:
1.) Spustit příkaz:
certbot certonly --manual --preferred-challenges dns -d spock.it.cas.cz -d zuul.it.cas.cz
Výstup bude asi takovýto:
Please deploy a DNS TXT record under the name: _acme-challenge.zuul.it.cas.cz. with the following value: UkogpcNJVFawP6-QGbkuU6YlwWdld0YBVxJR4JvfUMI
2.) Na serveru servant
Editovat soubor /var/named/data/it.cas.cz.zone:
2023081506 ; sn=serial number
^^ zvýšit alespoň o 2
před řádek
;---------------- ALIASES ------------------
přidat řádek, nebo editovat hodnotu, pokud řádek existuje
_acme-challenge.zuul IN TXT "UkogpcNJVFawP6-QGbkuU6YlwWdld0YBVxJR4JvfUMI"
kde text v uvozovkách je shodný s výpisem certbotu
3.) Na serveru servant
Spustit příkaz:
service named restart
počkat asi 5 min. na odpropagování DNS záznamů
4.) Na počítači se spuštěným certbotem pokračovat v generování certifikátu
Po vygenerování certifikátu zkopírovat soubory! (ne jen linky)
''fullchain.pem'' a ''privkey.pem''
kamkoli a na novém místě:
chmod a+r *.pem mv privkey.pem privkey.key
Nyní je možné vrátit zpět změny v souboru na servant.
5.) Importovat soubory do SOPHOSU:
Menu Certificates, ADD
—————- A JE TO ! ————————