Neuaufbau der UCS-CA zwecks Umstellung von SHA1 auf SHA2

german
ssl

#1

Hallo,

ich möchte gerne folgend den Anleitungen hier:

http://sdb.univention.de/content/15/332/en/renewing-the-complete-ssl-chain.html
und
http://sdb.univention.de/content/15/1/en/renewing-the-ssl-certificates.html

die UCS-CA neu aufbauen, damit wir durchgehend SHA-256 haben. Abgesehen davon ist dieser Schritt ohnehin bald nötig, da das Verfallsdatum näher kommt.

Laut Recherche im Bugzilla (finde den Bug leider gerade nicht mehr) sollte man SHA-256 und nicht 384 oder höher verwenden, da es hier Probleme mit gewissen Modulen geben kann. Deshalb ist Standard bei Neuinstallationen auch SHA-256 gesetzt.

Ich frage vorher vorsichtshalber nochmals nach, da dieses System von der UCS c’t-Edition immer weiter hochgepatcht wurde:
wie sieht es mit Kopano, dem Mailstack usw. aus? Sind dafür weitere Schritte nötig, oder klappt das ohne Verweise auf die neue CA?

VG,
TP


#2

Hallo,

ich würde an deiner Stelle auch gleich die Schlüssellänge hochsetzen:

ucr set ssl/default/bits='4096'

Ich hab das damals leider verpaßt.


#3

@SirTux:
Hallo,

OK, vielen Dank, werde ich machen!

VG


#4

Hallo,

das hat mit einigen Einschränkungen geklappt.
Das apache2 init-Skript schlug fehl, da die Apache-Konfiguration für SSL z.T. auf

/etc/univention/ssl/ucs-sso.domain.local/

verwies. Ein Überbleibsel von SAML, obwohl dies hier nie verwendet wurde?
Dieser Ordner ist nach dem Neuaufbau der Zertifizierungskette nicht mehr vorhanden. Ich musste dies in der Konfiguration manuell anpassen - und zwar auf:

etc/univention/ssl/ucs.domain.local/

Ich hoffe, das passt - da dort ja auch der private.key liegt und ich keinesfalls eine Sicherheitslücke ins System reißen will?

VG,
TP


#5

Hallo,

besser wäre es wohl gewesen ein entsprechendes Zertifikat manuell zu erstellen.

Viele Grüße,
SirTux


#6

Hallo,
ich habe die Daten verglichen, auch vorher wurde dasselbe Zertifikat verwendet.
Die Frage ist: wie schaut die Standardkonfiguration in UCS normalerweise aus?
VG,
TP


#7

da müsste ich jetzt mal nachfragen:

Die Frage ist: wie schaut die Standardkonfiguration in UCS normalerweise aus?

Ich weiss nicht ob mir hier ein Teil der Konversation fehlt, aber welche Standardkonfiguration ist gemeint? Funktioniert etwas nicht?


#8

Hallo,
nein - es funktioniert in diesem Teil des UCS alles, ich wollte nur nicht manuell eine Konfiguration schaffen, welche später Probleme verursacht.
Immer bezogen auf Antwort 4 oben.
VG,
TP


#9

Antwort 4 kam, weil das obige Zertifikat normalerweise schon verwendet wird.