Erneuern der kompletten SSL-Zertifikatskette

ucs-3
ucs-4
ssl
certificates

#1

Problem:

Wie kann die vollständige Erneuerung der SSL-Zertfikatskette realisiert werden?

Lösung:

Um das CAkey.pem und abhängige Zertifikatsdateien neu zu erzeugen, gehen Sie bitte wie folgt vor:

Verschieben Sie das Verzeichnis /etc/univention/ssl:

mv /etc/univention/ssl  /etc/univention/ssl_$(date  +"%d%m%Y")

Erzeugen Sie eine neue SSL-Grundstruktur sowie ein neues Zertifikat für den DC-Master:

apt-get install --reinstall univention-ssl

Setzen Sie die Dateiberechtigungen:

chgrp 'DC Backup Hosts' -R /etc/univention/ssl/openssl.cnf /etc/univention/ssl/password /etc/univention/ssl/ucsCA/
chgrp 'DC Slave Hosts' /etc/univention/ssl/ucsCA/CAcert.pem
find /etc/univention/ssl/ucsCA/ -type d -exec chmod g+rwX {} \;

Erneuern des Zertifikats für den DNS-Alias univention-directory-manager sowie alle Rechner-Zertifikate der UCS-Domäne neu erzeugt werden:

eval "$(univention-config-registry shell)"
univention-certificate new -name univention-directory-manager.$domainname -days $ssl_default_days
ln -s /etc/univention/ssl/univention-directory-manager.$domainname/ /etc/univention/ssl/univention-directory-manager
/etc/init.d/slapd restart
univention-directory-listener-ctrl resync gencertificate

ucs-sso benötigt eine separate Behandlung

Um ein neues UCS-SSO Zertifikat zu erzeugen, kann das 91univention-saml.inst Join-Script benutzt werden.
Das alte Zertifikat muss zuvor gelöscht werden, welche s via ucr gesetzt wurde, damit das Join Script anlaufen kann:

ucr get saml/idp/certificate/certificate
→ /etc/simplesamlphp/ucs-sso…

Und nun das Join-Skript forciert ausführen:

univention-run-join-scripts --force --run-scripts 91univention-saml.inst

Kopieren der Zertifikate

Anschließend müssen die neu erstellten Rechner-Zertifikate auf die angeschlossenen Systeme verteilt werden.
Die hierzu notwendigen Schritte finden sich in Artikel
https://help.univention.com/t/erneuern-der-tls-ssl-zertifikate/7488


Zertifikate erneuern