Fünf schöne USC Jahre sind bald rum, SSL Zertifikate müssen erneuert werden

donrusso · January 31, 2022, 10:45pm

Hallo Menschen,

erstmal, wie immer, Danke an Univention für den Controller der super läuft und mich auch hat viel Linux lernen lassen.
Kinder wie die Zeit vergeht…ups was ist das für eine Fehlermeldung: " WARNUNG: Überprüfe Gültigkeit der SSL Zertifikate" noch 37 Tage. Habe ich mich erschrocken, als ich die Anleitung sah:

dann noch:

und:

und natürlich:

Prinzipiell ist mir das Problem und das Vorgehen klar. Meine Umgebung ist auch überschaubar:

ucsmaster * ucsbackup * qnapmaster * qnapbackup * div. Win10 domain clients

Die QNAPs sind der Domäne beigetreten. USCMASTER ist eine BareBone Maschine und der USCBACKUP eine VM. Ein Dump (clonezilla) des Masters und ein Snapshot des Backups sind gesetzt.

folgende Zertifikate sind aktiv:

root@ucsmaster:/home/Administrator# univention-certificate list
List all certificates
01      unassigned-hostname.unassigned-domain
02      ucsmaster.mydomain.my
03      ucs-sso.mydomain.my
07      ucsbackup.mydomain.my
root@ucsmaster:/home/Administrator# ls -l /etc/univention/ssl/
insgesamt 28
-rw-rw---- 1 root       DC Backup Hosts 2836 Nov  7  2018 openssl.cnf
-rw-rw---- 1 root       DC Backup Hosts   20 Mär 11  2017 password
lrwxrwxrwx 1 root       nogroup           40 Nov 21  2018 ucsbackup -> /etc/univention/ssl/ucsbackup.mydomain.my
drwxr-x--- 2 ucsbackup$ DC Backup Hosts 4096 Nov 21  2018 ucsbackup.mydomain.my
drwxrwxr-x 6 root       DC Backup Hosts 4096 Jun 10  2019 ucsCA
lrwxrwxrwx 1 root       DC Backup Hosts   40 Mär 11  2017 ucsmaster -> /etc/univention/ssl/ucsmaster.mydomain.my
drwxr-x--- 2 ucsmaster$ DC Backup Hosts 4096 Jan 24 13:45 ucsmaster.mydomain.my
drwxr-x--- 2 root       DC Backup Hosts 4096 Mär 11  2017 ucs-sso.mydomain.my
lrwxrwxrwx 1 root       root              50 Mär 11  2017 unassigned-hostname -> /etc/univention/ssl/unassigned-hostname.mydomain.my
drwx------ 2 root       DC Backup Hosts 4096 Mär 11  2017 unassigned-hostname.unassigned-domain
root@ucsmaster:/home/Administrator#



Zertifikat '/etc/univention/ssl/ucsCA/CAcert.pem' wird in 37 Tagen ablaufen.
Zertifikat '/etc/univention/ssl/ucsmaster.mydomain.my/cert.pem' wird in 37 Tagen ablaufen.
Zertifikat '/etc/simplesamlphp/ucs-sso.mydomain.my-idp-certificate.crt' wird in 37 Tagen ablaufen.
Zertifikat '/etc/univention/ssl/ucsCA/certs/01.pem' wird in 37 Tagen ablaufen.
Zertifikat '/etc/univention/ssl/ucsCA/certs/02.pem' wird in 37 Tagen ablaufen.
Zertifikat '/etc/univention/ssl/ucsCA/certs/03.pem' wird in 37 Tagen ablaufen.
Siehe Univention Support Database - Erneuern der TLS/SSL-Zertifikate für Informationen zum Erneuern von Zertifikaten.

Ich bin die Posts zu dem Thema durchgegangen und es haben sich bei mir folgende Fragen aufgetan:

Ich habe die USC Version 5.0-x installiert, ist das Vorgehen wie bei 4.x ?
Erzeuge ich das neue Zertifikat durch eine Reinstallation von univention-ssl oder doch lieber durch openssl x509 -in CAcert.pem.....
Generiere ich die Zertifikate nur auf dem Master und der Backup “synct” sich automatisch, oder muss ich die Zertifikate manuell rüberkopieren ?
Muss ich die QNAPs und die Win10 Client auch anfassen ?

Es sind bestimmt nicht meine letzten Fragen dazu,

VG

donrusso · February 3, 2022, 8:47am

Ok, scheinbar habe ich meine Fragen zu offen/global gestellt. Nun was konkretes, dieser Befehl hier:
grafik

Muss ich hier als domainname meine domain eintagen ’ z.B. mydomain,my’ oder wird irgendwoher eine Variable aufgerufen ?

Das selbe auch hier:
grafik

Hier frage ich mich ob ich die FQDN ausschreiben soll myserver.mydomain.my ?

grafik

VG

O_Bertgen · February 3, 2022, 1:43pm

Hallo Donrusso,

nein, du brauchst dort nichts eintragen.

Wie Du richtig vermutest, holt das script sich diese aus den dazu passenden Variablen.

VG
O. Bertgen

donrusso · February 6, 2022, 11:19am

Moin,

danke @O_Bertgen, die Erneuerung der Zertifikate hat geklappt.

EinRestfehler ist aber noch da:
grafik

Ich habe diesen Post gelesen:

scheint sich bei mir um das gleiche Phänomen zu handeln ???

Kann das jemand bestätigen ?

root@ucsmaster:/etc/univention/ssl/ucsCA/certs# ls -l
insgesamt 92
-rw-rw---- 1 root DC Backup Hosts 2033 Mär 11  2017 00.pem
-rw-rw-r-- 1 root DC Backup Hosts 5549 Mär 11  2017 01.pem
-rw-rw-r-- 1 root DC Backup Hosts 5444 Mär 11  2017 02.pem
-rw-rw-r-- 1 root DC Backup Hosts 5430 Mär 11  2017 03.pem
-rw-rw-r-- 1 root DC Backup Hosts 5444 Mär 15  2017 04.pem
-rw-rw-r-- 1 root DC Backup Hosts 5444 Nov 12  2018 05.pem
-rw-rw-r-- 1 root DC Backup Hosts 5444 Nov 14  2018 06.pem
-rw-rw-r-- 1 root DC Backup Hosts 5444 Nov 21  2018 07.pem
-rw-rw-r-- 1 root DC Backup Hosts 5480 Mär 18  2019 08.pem
-rw-r--r-- 1 root root            5452 Feb  6 11:21 09.pem
-rw-r--r-- 1 root root            5453 Feb  6 11:21 0A.pem
-rw-r--r-- 1 root root            5439 Feb  6 11:21 0B.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Mär 11  2017 316087fb.0 -> 03.pem
lrwxrwxrwx 1 root root               6 Feb  6 11:21 316087fb.1 -> 0B.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Mär 18  2019 49191890.0 -> 08.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Mär 11  2017 502425b0.0 -> 01.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Mär 15  2017 8d1ad5f8.0 -> 04.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Nov 12  2018 8d1ad5f8.1 -> 05.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Nov 14  2018 8d1ad5f8.2 -> 06.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Nov 21  2018 8d1ad5f8.3 -> 07.pem
lrwxrwxrwx 1 root root               6 Feb  6 11:21 8d1ad5f8.4 -> 09.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Mär 11  2017 95fdf21e.0 -> 02.pem
lrwxrwxrwx 1 root root               6 Feb  6 11:21 95fdf21e.1 -> 0A.pem
lrwxrwxrwx 1 root DC Backup Hosts    6 Mär 11  2017 a069ec27.0 -> 00.pem

donrusso · February 7, 2022, 9:16am

Moin,

ich habe mir den Inhalt der 01,02,03 .pem angeschaut:

01.pem
DNS:unassigned-hostname.unassigned-domain, DNS:unassigned-hostname

02.pem
DNS:ucsmaster.mydomain.my, DNS:ucsmaster


03.pem
DNS:ucs-sso.mydomain.my, DNS:ucs-sso

diese werden doch wohl auch weiterhin benutzt, auch über das Ablaufdatum hinaus ?!

donrusso · February 7, 2022, 9:18am

oder habe ich irgendwo ein Gruppenzugehörigkeitsproblem ?

donrusso · March 15, 2022, 8:34pm

Es hat alles geklappt. Die drei übrig gebliebenen Fehler waren am nach dem Stichtag weg.

forum-ucs · June 11, 2023, 2:27pm

Ist ein ganz übles Gefrickel - geht wohl einfacher, man setzt den UCS privat komplett neu auf.

Andreas_T · June 13, 2023, 7:39am

Bei uns hat das wie unter Renewing the SSL certificates beschrieben auf Anhieb funktioniert und war in 5 Minuten erledigt… Aber Zertifikate sind generell natürlich schon ein komplexes Thema und man sollte vorsichtig vorgehen, wenn man nicht gerade Experte darin ist.