Zertifikate erneuern

SebSchremser · January 8, 2018, 10:29am

Hallo liebe Univention Forum Leser.

Ich habe einen UCS Server bei dem die Root-CA abgelaufen ist.

Um das Zertifikat zu verlängern bin ich nach folgender Anleitung vorgegangen:
https://help.univention.com/t/erneuern-der-tls-ssl-zertifikate/7488

Allerdings finde ich einige Dateien nicht, die zur Verlängerung essentiell sind.

Als erstes war die Datei /etc/univention/ssl/password nicht vorhanden. Diese habe ich einfach angelegt und 7 Zeichen aus pwgen eingefügt.

Danach habe ich mir den openssl Befehl angesehen und musste feststellen dass auch kein private Ordner existiert. Darin sollte ja der Key liegen, mit dem das Root-CA generiert wird.

Wie kann ich die Umgebung soweit herrichten dass ich wieder ein Root-CA ausstellen kann?

LG Basti

stoeckigt · January 8, 2018, 1:00pm

Hi @SebSchremser,

um das Root-CA zu erneuern geh bitte nach diesem Artikel vor:

https://help.univention.com/t/erneuern-der-kompletten-ssl-zertifikatskette/7489

Gruß Nico

SebSchremser · January 8, 2018, 4:11pm

Hallo Nico.

Leider habe ich schon beim dritten Befehl einen Fehler.

/etc/univention/ssl/openssl.cnf und /etc/univention/ssl/password fehlen.
Sollten diese Dateien nicht bei der Neuinstallation angelegt werden?

LG Basti

stoeckigt · January 9, 2018, 12:57pm

Hi @SebSchremser,

mit dem Aufruf von

univention-certificate new -name univention-directory-manager.$domainname -days $ssl_default_days

wird eigentlich das /etc/univention/ssl/password durch /usr/share/univention-ssl/make-certificates.sh geschrieben. Stimmen die Verzeichnisberechtigungen?

root@master:/etc/univention/ssl# ls -la
drwxrwxr-x  22  root  DC Backup Hosts 4,0K Jan  3 12:54 .
drwxr-xr-x  13  root  root            4,0K Jan  9 13:05 ..
-rw-rw----   1  root  DC Backup Hosts   20 Jun  2  2017 password
-rw-rw----   1  root  DC Backup Hosts 2,8K Jun  2  2017 openssl.cnf

Was passiert beim vollständigen manuellen Ausführen z.B. mit bash -x <command>?

Gruß Nico

SebSchremser · January 10, 2018, 10:06am

Hallo Nico.

Es tut mir unheimlich Leid deine Zeit vergeudet zu haben.
Nach genauerer Analyse habe ich festgestellt dass ich auf einem Slave Server unterwegs war.
Zertifikate vom Master kopiert und dort die root-CA kontrolliert. Siehe da: Keine Probleme mehr.

Asche über mein Haupt.

Dennoch vielen Dank für die Bemühungen.

LG Basti