Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:dfnpki:tcs:2025:acme [2026/01/21 13:46] – Juergen Brauckmann
+++ de:dfnpki:tcs:2025:acme [2026/02/03 18:30] (aktuell) – [Wildcard-Zertifikate] Juergen Brauckmann
@@ Zeile 2: / Zeile 2: @@
 HARICA bietet die Möglichkeit, über das ACME-Protokoll und Standard-Werkzeuge Serverzertifikate zu beziehen.
-Hierfür müssen in der Oberfläche unter https://cm.harica.gr sogenannte ACME Accounts angelegt werden.
-Es gibt zwei verschiedene Typen ACME Accounts:
+Viele einführende Informationen finden sich in dem folgenden Foliensatz: {{ :de:dfnpki:harica:2026-01-22-automatisierung.pdf |Webinar "Automatisierung mit ACME"}}
-  * Enterprise Accounts
-  * Personal Accounts
+===== ACME EAB Accounts =====
-==== Enterprise Accounts ====
+Zur Nutzung von ACME mit HARICA müssen in der Oberfläche unter https://cm.harica.gr sogenannte ACME EAB Accounts angelegt werden.
+Es gibt zwei verschiedene Typen ACME EAB Accounts:
+  * Enterprise EAB Accounts
+  * Personal EAB Accounts
+==== Enterprise EAB Accounts ====
   * Können nur vom Enterprise Admin angelegt werden
@@ Zeile 23: / Zeile 28: @@
     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat
-Die Nutzung von Enterprise ACME Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]
+Die Nutzung von Enterprise ACME EAB Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]
-==== Personal Accounts ====
+==== Personal EAB Accounts ====
   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat
@@ Zeile 58: / Zeile 63: @@
 HARICA unterstützt die Challenge-Typen ''http-01'' und ''dns-01''.
-==== Beispielaufrufe ====
+==== Wildcard-Zertifikate ====
+Wildcard-Zertifikate können ausgestellt werden, wenn die folgenden Bedingungen zutreffen:
+  * Enterprise EAB Account
+    * Mit Domainregeln, die Subdomains einschließt
+    * und vorvalidierten Domains
+    * **oder** beim Account-Typ SSL DV der Fähigkeit, dns-01-Challenges zu beantworten.
+  * Personal EAB Account
+    * Fähigkeit, dns-01-Challenges zu beantworten
+Es gibt keine Möglichkeit, in der HARICA-Oberfläche die Ausstellung von Wildcard-Zertifikaten einzuschränken. Gegebenenfalls können hierfür [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA-Records]] verwendet werden (Achtung: Nur eingeschränkte Möglichkeiten bei Schreibzugriff aufs DNS von Subdomains, da CAA-Records von Subdomains die darüberliegende Domain überschreiben können!)
+==== Werkzeuge und Beispielaufrufe ====
+=== Allgemein ===
+Unter https://acmeclients.com/ findet sich eine Liste von aktuell verfügbaren ACME Clients.
 === certbot ===
@@ Zeile 71: / Zeile 92: @@
     certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN>
+''certbot'' installiert unter Umständen bereits direkt einen ''cron''-Job und einen ''systemd''-Timer zu Erneuerung des Zertifikats. Bitte unbedingt kontrollieren!
+    systemctl show certbot.timer
 === simple-acme ===
@@ Zeile 140: / Zeile 164: @@
 In Experimenten war nach der initialen Konfiguration ein zweifacher Neustart des Apache notwendig.
+=== ACME-Proxy tiny-acme-server ===
+Von der Friedrich-Alexander-Universität Erlangen-Nürnberg gibt es den ''tiny-acme-server'', der nach innen zur Einrichtung hin ACME mit http-01-Challenge anbietet, und in Richtung des PKI-Anbieters mit dessen spezifischen API kommuniziert: https://gitos.rrze.fau.de/noc/tiny-acme-server/-/tree/master?ref_type=heads
+=== ACME-Proxy PKI Self Service Portal HM.edu ===
+Die Hochschule München veröffentlicht ihr PKI Self-Service-Portal unter: https://github.com/hm-edu/pki-portal-deployment/tree/main
 ==== Fallstricke und Fehlermeldungen ====