Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:acme [2025/07/29 09:13] Juergen Brauckmannde:dfnpki:tcs:2025:acme [2025/08/08 13:54] (aktuell) Juergen Brauckmann
Zeile 11: Zeile 11:
 ==== Enterprise Accounts ==== ==== Enterprise Accounts ====
  
-=== Eigenschaften === 
-  
   * Können nur vom Enterprise Admin angelegt werden   * Können nur vom Enterprise Admin angelegt werden
   * FQDN/Domains, für die Zertifikate ausgestellt werden können, können im Account sehr detailliert konfiguriert werden   * FQDN/Domains, für die Zertifikate ausgestellt werden können, können im Account sehr detailliert konfiguriert werden
Zeile 25: Zeile 23:
     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat
  
-=== Anleitung ===+Die Nutzung von Enterprise ACME Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]
  
-1. Als Enterprise Admin unter dem Menüpunkt Enterprise den Tab ACME auswählen 
- 
- 
-{{:de:dfnpki:harica:enterprise-acme.png?800|Bild des Dialogs Enterprises-ACME}} 
- 
-2. Dort den Button "Create +" betätigen 
- 
-3. **Unbedingt** einen Friendly Name vergeben 
-  * Erforderlich zur späteren Identifikation des Accounts in der Übersichtsliste 
-  * Kann nicht nachträglich eingefügt oder geändert werden 
- 
-4. Auswahl von SSL DV oder SSL OV 
-  * Eigenschaften siehe oben 
-  * Kann nicht nachträglich geändert werden 
- 
-5. Nach Betätigung des Buttons "Create" schließt sich der Dialog 
- 
-6. Nun muss der neue Account in der Liste aufgesucht und geöffnet werden 
- 
-7. Unter dem Tab "Domains" müssen Regeln hinzugefügt werden, für welche Subdomains oder FQDN Zertifikate ausgestellt werden sollen. Für eine neue Regel klicken Sie auf das "+" links neben einer Domain. Es können Deny oder Allow-Regeln konfiguriert werden, um komplexe Szenarien abbilden zu können. 
- 
-**Ohne explizit hinzugefügte Regeln können keine Zertifikate ausgestellt werden.** 
- 
-{{:de:dfnpki:harica:enterprise-acme-domains.png?600|Bild des Dialogs Enterprises-ACME-Domains}} 
- 
- 
-8. Nach dem Hinzufügen der Regeln können im Tab "Details" die ACME EAB Parameter abgelesen werden.  
- 
-{{:de:dfnpki:harica:enterprise-acme-details.png?800|Bild des Dialogs Enterprises-ACME-Details}} 
- 
- 
-Ein Aufruf eines ACME-Clients geschieht beispielsweise mit: 
- 
-    certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats> 
- 
-Im Rahmen der Ausstellung muss keine ACME-Challenge beantwortet werden. Es ist keine Änderung am DNS und kein Kontakt per HTTP zwischen CA und Webserver notwendig. 
- 
-Beim Registrieren des Accounts mit dem ACME-Client muss eine Mailadresse muss angegeben werden. Andernfalls antwortet HARICA mit einem Fehler. 
  
 ==== Personal Accounts ==== ==== Personal Accounts ====
- 
-=== Eigenschaften === 
  
   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat
Zeile 77: Zeile 35:
   * ACME Challenge bei jeder Zertifikatausstellung erforderlich, um die Berechtigung nachzuweisen   * ACME Challenge bei jeder Zertifikatausstellung erforderlich, um die Berechtigung nachzuweisen
   * SSL DV Zertifikate (ohne Organisationsinformationen)   * SSL DV Zertifikate (ohne Organisationsinformationen)
- 
- 
-=== Freischaltung und Nutzung von Personal ACME Accounts === 
- 
-Die Funktionalität für Personal ACME Accounts ist erst nach einer Freischaltung durch den Enterprise Administrator verfügbar. 
  
 Die Freischaltung und Nutzung ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal]] Die Freischaltung und Nutzung ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal]]
Zeile 171: Zeile 124:
  
  
-==== Fehlermeldungen ====+==== Fallstricke und Fehlermeldungen ====
  
 +
 +=== Fehlermeldungen ===
 Der ACME-Server von HARICA gibt im Fehlerfall teilweise nur sehr generische Meldungen zurück, z.B. Der ACME-Server von HARICA gibt im Fehlerfall teilweise nur sehr generische Meldungen zurück, z.B.
     {     {
Zeile 181: Zeile 136:
     An unexpected error occurred:     An unexpected error occurred:
     AttributeError: can't set attribute     AttributeError: can't set attribute
 +
 +
 +=== Email-Adresse erforderlich ===
 +Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab.
 +
 +
 +=== Prüfpunkte ===
  
 Beim Auftreten eines Fehlers sollten folgende Punkte zunächst geprüft werden: Beim Auftreten eines Fehlers sollten folgende Punkte zunächst geprüft werden:
Zeile 196: Zeile 158:
   - Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?   - Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?
  
 +=== Ansible ===
  
 +Bei den ''community.crypto''-Module von Ansible muss der Parameter  ''modify_account: false'' angegeben werden, damit die Zertifikaterstellung funktioniert.
  • Zuletzt geändert: vor 5 Wochen