Hallo univention,
Yeah - unsere Systeme laufen in der Tat schon 5 Jahre! Bei uns laufen in einem Monat die UCS Zertifikate ab, also habe ich sie erneuert. Die von mir dazu benutzte Anleitung ist Erneuern der kompletten SSL-Zertifikatskette und dann weiter mit Erneuern der TLS/SSL-Zertifikate
Vielen Dank fuer die Bereitstellung der Dokumentation!
Ich hatte jedoch einige kleinere Problemchen. Daher die Frage ob Ihr die Doku vielleicht ueberpruefen und ggf. leicht anpassen koennt?
Scheinbar wird kein SAML Zertifikat erstellt. Das kann entweder mit befolgen des folgendem Post geloest werden: Lost CAcert.pem (Danke @Moriz Bunkus), oder besser, die original Anleitung sprachlich etwas anzupassen (Ja, ja, das steht auch im Fliesstext, ich weiss…). Ich schlage da folgendes vor:
ucr get saml/idp/certificate/certificate
rm $(ucr get saml/idp/certificate/certificate)
univention-run-join-scripts --force --run-scripts 91univention-saml.inst
Das Erneuern der Zertifikate der Docker container ist in der deutschen Anleitung noch nicht angepasst, die englische Version ist da besser: Renewing the SSL certificates
Hier ist meine Bitte das auch in der deutschen Version zu uebernehmen, also in etwa folgendes:
univention-app update-certificates
# restart
apt install -y jq
univention-app info --as-json |jq -r '.installed|.[]' | \
while read app; do \
univention-app crestart $app ; \
done
Ich wuerde mir hier uebrigens fuer univention-app einen Parameter wuenschen, also in etwa univention-app crestart --all-local oder so. Vielleicht gibt es da auch eine bessere Loesung und ich habe sie nur nicht gefunden?
Ich habe einige Zeit gebraucht zu verstehen warum der Nagios check UNIVENTION_SSL weiterhin auf den clients ein altes Zertifikat anzeigt, auch nachdem es dort getauscht wurde. Das steht zwar auch in der Anleitung, jedoch etwas versteckt. Ich hatte die Anleitung so gelesen das dieser Befehl nur auf UCS Masters ausgefuehrt werden muss. (Ja ja… beim dritten lesen hatte ich es dann auch gemerkt…)
root@ucs-client:~# /usr/lib/nagios/plugins/check_univention_ssl_certificate -w 40 -c 20
WARNING: SSL host certificate expires in 36 days (warn@40 - crit@20)
root@ucs-client:~# /usr/sbin/univention-certificate-check-validity
root@ucs-client:~# /usr/lib/nagios/plugins/check_univention_ssl_certificate -w 40 -c 20
OK: SSL host certificate expires in 1825 days (warn@40 - crit@20)
Vielleicht waere es besser diesen Punkt etwas umzustrukturieren, also den Punkt mit der Bereitstellung des Zertifikats (cp /etc/univention/ssl/ucsCA/CAcert.pem /var/www/ucs-root-ca.crt) einfach nach oben nach “Erneuern der Zertifikate” zu verschieben.
Liebe Gruesse Lutz