Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:dfnpki:tcs:2025:acme [2025/07/29 09:13] – Juergen Brauckmann
+++ de:dfnpki:tcs:2025:acme [2025/10/23 17:25] (aktuell) – [ACME Challenges] Juergen Brauckmann
@@ Zeile 11: / Zeile 11: @@
 ==== Enterprise Accounts ====
-=== Eigenschaften ===
   * Können nur vom Enterprise Admin angelegt werden
   * FQDN/Domains, für die Zertifikate ausgestellt werden können, können im Account sehr detailliert konfiguriert werden
@@ Zeile 25: / Zeile 23: @@
     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat
-=== Anleitung ===
+Die Nutzung von Enterprise ACME Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]
-. Als Enterprise Admin unter dem Menüpunkt Enterprise den Tab ACME auswählen
-{{:de:dfnpki:harica:enterprise-acme.png?800|Bild des Dialogs Enterprises-ACME}}
-. Dort den Button "Create +" betätigen
-. **Unbedingt** einen Friendly Name vergeben
-  * Erforderlich zur späteren Identifikation des Accounts in der Übersichtsliste
-  * Kann nicht nachträglich eingefügt oder geändert werden
-. Auswahl von SSL DV oder SSL OV
-  * Eigenschaften siehe oben
-  * Kann nicht nachträglich geändert werden
-. Nach Betätigung des Buttons "Create" schließt sich der Dialog
-. Nun muss der neue Account in der Liste aufgesucht und geöffnet werden
-. Unter dem Tab "Domains" müssen Regeln hinzugefügt werden, für welche Subdomains oder FQDN Zertifikate ausgestellt werden sollen. Für eine neue Regel klicken Sie auf das "+" links neben einer Domain. Es können Deny oder Allow-Regeln konfiguriert werden, um komplexe Szenarien abbilden zu können.
-**Ohne explizit hinzugefügte Regeln können keine Zertifikate ausgestellt werden.**
-{{:de:dfnpki:harica:enterprise-acme-domains.png?600|Bild des Dialogs Enterprises-ACME-Domains}}
-. Nach dem Hinzufügen der Regeln können im Tab "Details" die ACME EAB Parameter abgelesen werden.
-{{:de:dfnpki:harica:enterprise-acme-details.png?800|Bild des Dialogs Enterprises-ACME-Details}}
-Ein Aufruf eines ACME-Clients geschieht beispielsweise mit:
-    certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>
-Im Rahmen der Ausstellung muss keine ACME-Challenge beantwortet werden. Es ist keine Änderung am DNS und kein Kontakt per HTTP zwischen CA und Webserver notwendig.
-Beim Registrieren des Accounts mit dem ACME-Client muss eine Mailadresse muss angegeben werden. Andernfalls antwortet HARICA mit einem Fehler.
 ==== Personal Accounts ====
-=== Eigenschaften ===
   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat
@@ Zeile 77: / Zeile 35: @@
   * ACME Challenge bei jeder Zertifikatausstellung erforderlich, um die Berechtigung nachzuweisen
   * SSL DV Zertifikate (ohne Organisationsinformationen)
-=== Freischaltung und Nutzung von Personal ACME Accounts ===
-Die Funktionalität für Personal ACME Accounts ist erst nach einer Freischaltung durch den Enterprise Administrator verfügbar.
 Die Freischaltung und Nutzung ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal]]
@@ Zeile 87: / Zeile 40: @@
 ==== Zertifikatketten ====
-Im Rahmen des Prozesses liefert der ACME-Server einen Zertifikatkette aus, die vom ACME-Client in der Regel zur Installation auf dem System verwendet wird.
-HARICA liefert per ACME eine Kette aus, die im Cross-Zertifikat für die Root CA 2015 endet. Damit ist eine größtmögliche Kompatibilität zu Anwendungssoftware gegeben.  [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:cacerts#legacy-root-ca-zertifikate_2015_fuer_serverzertifikate|Legacy-Root-CA-Zertifikate 2015]]
+HARICA liefert als Teil der Automatisierung per ACME eine Zertifikatkette aus, die eine größtmögliche Kompatibilität zu Anwendungssoftware sicherstellt. Die Zertifikatkette endet Cross-Zertifikat für die Root CA 2015.  [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:cacerts#legacy-root-ca-zertifikate_2015_fuer_serverzertifikate|Legacy-Root-CA-Zertifikate 2015]]
 ==== ACME Challenges ====
@@ Zeile 105: / Zeile 57: @@
 HARICA unterstützt die Challenge-Typen ''http-01'' und ''dns-01''.
-**Achtung:** Im Gegensatz zu Let's Encrypt folgt HARICA bei ''dns-01'' derzeit keinen CNAMEs!
-Folgendes funktioniert derzeit **nicht**:
-    _acme-challenge.<domain> IN CNAME <auth-domain>
-    <auth-domain> IN TXT <ACME dns-01 challenge>
 ==== Beispielaufrufe ====
@@ Zeile 171: / Zeile 117: @@
-==== Fehlermeldungen ====
+==== Fallstricke und Fehlermeldungen ====
+=== Fehlermeldungen ===
 Der ACME-Server von HARICA gibt im Fehlerfall teilweise nur sehr generische Meldungen zurück, z.B.
     {
@@ Zeile 181: / Zeile 128: @@
     An unexpected error occurred:
     AttributeError: can't set attribute
+=== Email-Adresse erforderlich ===
+Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab.
+=== Prüfpunkte ===
 Beim Auftreten eines Fehlers sollten folgende Punkte zunächst geprüft werden:
@@ Zeile 196: / Zeile 150: @@
   - Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?
+=== Ansible ===
+Bei den ''community.crypto''-Module von Ansible muss der Parameter  ''modify_account: false'' angegeben werden, damit die Zertifikaterstellung funktioniert.