Neuaufbau der UCS-CA zwecks Umstellung von SHA1 auf SHA2

Hallo,

ich möchte gerne folgend den Anleitungen hier:

http://sdb.univention.de/content/15/332/en/renewing-the-complete-ssl-chain.html
und
http://sdb.univention.de/content/15/1/en/renewing-the-ssl-certificates.html

die UCS-CA neu aufbauen, damit wir durchgehend SHA-256 haben. Abgesehen davon ist dieser Schritt ohnehin bald nötig, da das Verfallsdatum näher kommt.

Laut Recherche im Bugzilla (finde den Bug leider gerade nicht mehr) sollte man SHA-256 und nicht 384 oder höher verwenden, da es hier Probleme mit gewissen Modulen geben kann. Deshalb ist Standard bei Neuinstallationen auch SHA-256 gesetzt.

Ich frage vorher vorsichtshalber nochmals nach, da dieses System von der UCS c’t-Edition immer weiter hochgepatcht wurde:
wie sieht es mit Kopano, dem Mailstack usw. aus? Sind dafür weitere Schritte nötig, oder klappt das ohne Verweise auf die neue CA?

VG,
TP

Hallo,

ich würde an deiner Stelle auch gleich die Schlüssellänge hochsetzen:

ucr set ssl/default/bits='4096'

Ich hab das damals leider verpaßt.

@SirTux:
Hallo,

OK, vielen Dank, werde ich machen!

VG

Hallo,

das hat mit einigen Einschränkungen geklappt.
Das apache2 init-Skript schlug fehl, da die Apache-Konfiguration für SSL z.T. auf

/etc/univention/ssl/ucs-sso.domain.local/

verwies. Ein Überbleibsel von SAML, obwohl dies hier nie verwendet wurde?
Dieser Ordner ist nach dem Neuaufbau der Zertifizierungskette nicht mehr vorhanden. Ich musste dies in der Konfiguration manuell anpassen - und zwar auf:

etc/univention/ssl/ucs.domain.local/

Ich hoffe, das passt - da dort ja auch der private.key liegt und ich keinesfalls eine Sicherheitslücke ins System reißen will?

VG,
TP

Hallo,

besser wäre es wohl gewesen ein entsprechendes Zertifikat manuell zu erstellen.

Viele Grüße,
SirTux

Hallo,
ich habe die Daten verglichen, auch vorher wurde dasselbe Zertifikat verwendet.
Die Frage ist: wie schaut die Standardkonfiguration in UCS normalerweise aus?
VG,
TP

da müsste ich jetzt mal nachfragen:

Die Frage ist: wie schaut die Standardkonfiguration in UCS normalerweise aus?

Ich weiss nicht ob mir hier ein Teil der Konversation fehlt, aber welche Standardkonfiguration ist gemeint? Funktioniert etwas nicht?

Hallo,
nein - es funktioniert in diesem Teil des UCS alles, ich wollte nur nicht manuell eine Konfiguration schaffen, welche später Probleme verursacht.
Immer bezogen auf Antwort 4 oben.
VG,
TP

Antwort 4 kam, weil das obige Zertifikat normalerweise schon verwendet wird.

1 Like