Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:acme [2026/01/23 15:56] Juergen Brauckmannde:dfnpki:tcs:2025:acme [2026/02/03 18:30] (aktuell) – [Wildcard-Zertifikate] Juergen Brauckmann
Zeile 63: Zeile 63:
 HARICA unterstützt die Challenge-Typen ''http-01'' und ''dns-01''. HARICA unterstützt die Challenge-Typen ''http-01'' und ''dns-01''.
  
-==== Beispielaufrufe ====+==== Wildcard-Zertifikate ==== 
 + 
 +Wildcard-Zertifikate können ausgestellt werden, wenn die folgenden Bedingungen zutreffen: 
 +  * Enterprise EAB Account 
 +    * Mit Domainregeln, die Subdomains einschließt 
 +    * und vorvalidierten Domains 
 +    * **oder** beim Account-Typ SSL DV der Fähigkeit, dns-01-Challenges zu beantworten. 
 +  * Personal EAB Account 
 +    * Fähigkeit, dns-01-Challenges zu beantworten 
 + 
 +Es gibt keine Möglichkeit, in der HARICA-Oberfläche die Ausstellung von Wildcard-Zertifikaten einzuschränken. Gegebenenfalls können hierfür [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA-Records]] verwendet werden (Achtung: Nur eingeschränkte Möglichkeiten bei Schreibzugriff aufs DNS von Subdomains, da CAA-Records von Subdomains die darüberliegende Domain überschreiben können!)  
 + 
 +==== Werkzeuge und Beispielaufrufe ==== 
 + 
 +=== Allgemein === 
 + 
 +Unter https://acmeclients.com/ findet sich eine Liste von aktuell verfügbaren ACME Clients.
  
 === certbot === === certbot ===
Zeile 76: Zeile 92:
     certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN>     certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN>
  
 +''certbot'' installiert unter Umständen bereits direkt einen ''cron''-Job und einen ''systemd''-Timer zu Erneuerung des Zertifikats. Bitte unbedingt kontrollieren!
 +
 +    systemctl show certbot.timer
  
 === simple-acme === === simple-acme ===
Zeile 145: Zeile 164:
          
 In Experimenten war nach der initialen Konfiguration ein zweifacher Neustart des Apache notwendig. In Experimenten war nach der initialen Konfiguration ein zweifacher Neustart des Apache notwendig.
 +
 +=== ACME-Proxy tiny-acme-server ===
 +
 +Von der Friedrich-Alexander-Universität Erlangen-Nürnberg gibt es den ''tiny-acme-server'', der nach innen zur Einrichtung hin ACME mit http-01-Challenge anbietet, und in Richtung des PKI-Anbieters mit dessen spezifischen API kommuniziert: https://gitos.rrze.fau.de/noc/tiny-acme-server/-/tree/master?ref_type=heads
 +
 +
 +=== ACME-Proxy PKI Self Service Portal HM.edu ===
 +
 +Die Hochschule München veröffentlicht ihr PKI Self-Service-Portal unter: https://github.com/hm-edu/pki-portal-deployment/tree/main
  
 ==== Fallstricke und Fehlermeldungen ==== ==== Fallstricke und Fehlermeldungen ====
  • Zuletzt geändert: vor 3 Wochen