Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:acme [2025/09/15 09:12] – [Zertifikatketten] Juergen Brauckmannde:dfnpki:tcs:2025:acme [2026/02/03 18:30] (aktuell) – [Wildcard-Zertifikate] Juergen Brauckmann
Zeile 2: Zeile 2:
  
 HARICA bietet die Möglichkeit, über das ACME-Protokoll und Standard-Werkzeuge Serverzertifikate zu beziehen. HARICA bietet die Möglichkeit, über das ACME-Protokoll und Standard-Werkzeuge Serverzertifikate zu beziehen.
-Hierfür müssen in der Oberfläche unter https://cm.harica.gr sogenannte ACME Accounts angelegt werden. 
  
-Es gibt zwei verschiedene Typen ACME Accounts: +Viele einführende Informationen finden sich in dem folgenden Foliensatz{{ :de:dfnpki:harica:2026-01-22-automatisierung.pdf |Webinar "Automatisierung mit ACME"}}
-  * Enterprise Accounts +
-  * Personal Accounts+
  
 +===== ACME EAB Accounts =====
  
-==== Enterprise Accounts ====+Zur Nutzung von ACME mit HARICA müssen in der Oberfläche unter https://cm.harica.gr sogenannte ACME EAB Accounts angelegt werden. 
 + 
 +Es gibt zwei verschiedene Typen ACME EAB Accounts: 
 +  * Enterprise EAB Accounts 
 +  * Personal EAB Accounts 
 + 
 + 
 +==== Enterprise EAB Accounts ====
  
   * Können nur vom Enterprise Admin angelegt werden   * Können nur vom Enterprise Admin angelegt werden
Zeile 23: Zeile 28:
     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat
  
-Die Nutzung von Enterprise ACME Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]+Die Nutzung von Enterprise ACME EAB Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]
  
  
-==== Personal Accounts ====+==== Personal EAB Accounts ====
  
   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat
Zeile 58: Zeile 63:
 HARICA unterstützt die Challenge-Typen ''http-01'' und ''dns-01''. HARICA unterstützt die Challenge-Typen ''http-01'' und ''dns-01''.
  
-**Achtung:** Im Gegensatz zu Let's Encrypt folgt HARICA bei ''dns-01'' derzeit keinen CNAMEs!  +==== Wildcard-Zertifikate ====
-Folgendes funktioniert derzeit **nicht**: +
-    _acme-challenge.<domain> IN CNAME <auth-domain>  +
-    <auth-domain> IN TXT <ACME dns-01 challenge>+
  
 +Wildcard-Zertifikate können ausgestellt werden, wenn die folgenden Bedingungen zutreffen:
 +  * Enterprise EAB Account
 +    * Mit Domainregeln, die Subdomains einschließt
 +    * und vorvalidierten Domains
 +    * **oder** beim Account-Typ SSL DV der Fähigkeit, dns-01-Challenges zu beantworten.
 +  * Personal EAB Account
 +    * Fähigkeit, dns-01-Challenges zu beantworten
  
-==== Beispielaufrufe ====+Es gibt keine Möglichkeit, in der HARICA-Oberfläche die Ausstellung von Wildcard-Zertifikaten einzuschränken. Gegebenenfalls können hierfür [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA-Records]] verwendet werden (Achtung: Nur eingeschränkte Möglichkeiten bei Schreibzugriff aufs DNS von Subdomains, da CAA-Records von Subdomains die darüberliegende Domain überschreiben können!)  
 + 
 +==== Werkzeuge und Beispielaufrufe ==== 
 + 
 +=== Allgemein === 
 + 
 +Unter https://acmeclients.com/ findet sich eine Liste von aktuell verfügbaren ACME Clients.
  
 === certbot === === certbot ===
Zeile 77: Zeile 92:
     certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN>     certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN>
  
 +''certbot'' installiert unter Umständen bereits direkt einen ''cron''-Job und einen ''systemd''-Timer zu Erneuerung des Zertifikats. Bitte unbedingt kontrollieren!
  
-=== win-acme ===+    systemctl show certbot.timer 
 + 
 +=== simple-acme ===
  
     .\wacs.exe --source manual --accepttos --eab-key-identifier <Key ID> --eab-key <HMAC Key> --baseuri <Server URL> --emailaddress <Mail> --host <FQDN>     .\wacs.exe --source manual --accepttos --eab-key-identifier <Key ID> --eab-key <HMAC Key> --baseuri <Server URL> --emailaddress <Mail> --host <FQDN>
Zeile 122: Zeile 140:
 https://cert-manager.io/docs/usage/certificate/ https://cert-manager.io/docs/usage/certificate/
  
 +
 +
 +=== Apache Modul mod_md ===
 +
 +Apache-Modul mod_md aktivieren:
 +   a2enmod md ssl
 +   
 +Konfiguration des Apache: Es sind nur wenige Zeilen in den Server-Context einzutragen (und nicht den Virtualhost!). Im VirtualHost muss lediglich SSL angeschaltet werden. Es sind keine Pfade zu Zertifikaten oder Keys zu konfiguieren.
 +   MDomain <fqdn>
 +   MDContactEmail <mailadresse>
 +   MDCertificateAgreement accepted   
 +   MDCertificateAuthority <Server-URL wie im ACME EAB Account angegeben>
 +   MDExternalAccountBinding /etc/apache2/<Datei mit EAB Details>
 +   
 +   <VirtualHost *:443>
 +      ServerName <fqdn>
 +      SSLEngine On
 +      DocumentRoot /var/www/html
 +   </VirtualHost>
 +   
 +Inhalt der Datei mit EAB-Details:
 +    {"kid": "<Key ID aus HARICA", "hmac": "<HMAC Key aus HARICA"}
 +    
 +In Experimenten war nach der initialen Konfiguration ein zweifacher Neustart des Apache notwendig.
 +
 +=== ACME-Proxy tiny-acme-server ===
 +
 +Von der Friedrich-Alexander-Universität Erlangen-Nürnberg gibt es den ''tiny-acme-server'', der nach innen zur Einrichtung hin ACME mit http-01-Challenge anbietet, und in Richtung des PKI-Anbieters mit dessen spezifischen API kommuniziert: https://gitos.rrze.fau.de/noc/tiny-acme-server/-/tree/master?ref_type=heads
 +
 +
 +=== ACME-Proxy PKI Self Service Portal HM.edu ===
 +
 +Die Hochschule München veröffentlicht ihr PKI Self-Service-Portal unter: https://github.com/hm-edu/pki-portal-deployment/tree/main
  
 ==== Fallstricke und Fehlermeldungen ==== ==== Fallstricke und Fehlermeldungen ====
  
 +=== Fehler "not whitelisted" ===
  
-=== Fehlermeldungen === +Die folgende Fehlermeldung bedeutet: Die Domain ist nicht im Enterprise EAB Account hinterlegtaber prinzipiell im Enterprise verfügbar.
-Der ACME-Server von HARICA gibt im Fehlerfall teilweise nur sehr generische Meldungen zurückz.B. +
-    { +
-      "type": "urn:ietf:params:acme:error:serverInternal", +
-      "detail": "failed to order certificate from RA" +
-    } +
-oder als Ausgabe von certbot  +
-    An unexpected error occurred: +
-    AttributeError: can't set attribute+
  
 +Gegenmaßnahme:
 +  * Angeforderte Domain prüfen. Tippfehler?
 +  * Den Enterprise EAB Account konfigurieren: Im Tab "Domains" des Accounts eine Allow-Regel für die gewünschte Domain angelegen.
  
 +    The following domains are not whitelisted: <fqdn>
 +
 +=== Fehler "Identifiers could not be parsed" ===
 +
 +Die folgende Fehlermeldung bedeutet: Die Domain ist nicht im Enterprise verfügbar.
 +
 +Gegenmaßnahme:
 +  * Angeforderte Domain prüfen. Tippfehler?
 +  * Domain dem Enterprise hinzufügen [Domainverwaltung](de:dfnpki:tcs:2025:domains#domains)
 +
 +    Identifiers could not be parsed from ACME Server 
 +    
 === Email-Adresse erforderlich === === Email-Adresse erforderlich ===
 +
 Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab. Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab.
  
  • Zuletzt geändert: vor 5 Monaten