Problem:
Wie kann die vollständige Erneuerung der SSL-Zertfikatskette realisiert werden?
Lösung:
Um das CAkey.pem und abhängige Zertifikatsdateien neu zu erzeugen, gehen Sie bitte wie folgt vor:
Verschieben Sie das Verzeichnis /etc/univention/ssl:
mv /etc/univention/ssl /etc/univention/ssl_$(date +"%d%m%Y")
Erzeugen Sie eine neue SSL-Grundstruktur sowie ein neues Zertifikat für den DC-Master:
apt-get install --reinstall univention-ssl
Setzen Sie die Dateiberechtigungen:
chgrp 'DC Backup Hosts' -R /etc/univention/ssl/openssl.cnf /etc/univention/ssl/password /etc/univention/ssl/ucsCA/
chgrp 'DC Slave Hosts' /etc/univention/ssl/ucsCA/CAcert.pem
find /etc/univention/ssl/ucsCA/ -type d -exec chmod g+rwX {} \;
Erneuern des Zertifikats für den DNS-Alias univention-directory-manager sowie alle Rechner-Zertifikate der UCS-Domäne neu erzeugt werden:
eval "$(univention-config-registry shell)"
univention-certificate new -name univention-directory-manager.$domainname -days $ssl_default_days
ln -s /etc/univention/ssl/univention-directory-manager.$domainname/ /etc/univention/ssl/univention-directory-manager
/etc/init.d/slapd restart
univention-directory-listener-ctrl resync gencertificate
ucs-sso benötigt eine separate Behandlung
Um ein neues UCS-SSO Zertifikat zu erzeugen, kann das 91univention-saml.inst Join-Script benutzt werden.
Das alte Zertifikat muss zuvor gelöscht werden, welche s via ucr gesetzt wurde, damit das Join Script anlaufen kann:
ucr get saml/idp/certificate/certificate
→ /etc/simplesamlphp/ucs-sso…
Und nun das Join-Skript forciert ausführen:
univention-run-join-scripts --force --run-scripts 91univention-saml.inst
Kopieren der Zertifikate
Anschließend müssen die neu erstellten Rechner-Zertifikate auf die angeschlossenen Systeme verteilt werden.
Die hierzu notwendigen Schritte finden sich in Artikel
https://help.univention.com/t/erneuern-der-tls-ssl-zertifikate/7488