SSL Schlüssel aktualisieren

Beim Prüfen der SSL Schlüssel mit openssl-vulnkey bin ich auf
/etc/univention/ssl/univention-directory-manager.dt.minati.local/private.key
gestossen, der noch als kompromittiert geführt wird.

Wie aktualisiere ich diesen richtig, ohne mein UCS abzuschiessen?

Vielen Dank,

Mario Minati

Hallo

Zum verwalten der Zertifikate gibt es unter UCS das Programm univention-certificate.
Mit folgendem Kommando legt man ein neues Zertifikat an (bzw. überschreibt ein bestehendes).

univention-certificate new -name CERTNAME -days DAYS

Detaillierte Anleitungen zum Erneuern der SSL-Keys bzw. SSL-Zertifikate finden Sie hier:

[ul]
[li] [url]Erneuern der SSL-Zertifikate][/li]
[li] [url]UCS 2.0 Sicherheitsupdate 4][/li]
[li] http://www.univention.de/fileadmin/download/dokumentation/ucs-ssl.pdf[/li][/ul]

Mit freundlichen Grüßen

Felix Botner

Das erneute Erstellen des Zertifikates ändert nicht die Datei private.key.
Diese hat noch das gleiche Datum wie vorher und zeigt bei Überprüfung immer noch an, das sie compromised ist.

Das die alten verwundbaren Zertifikate noch unterhalb von /etc/univention/ssl/ucsCA/certs verfügbar sind spielt keine Rolle, oder?

Mario Minati

Hallo

Welche UCS Version benutzen Sie?

In meiner Testumgebung (2.0, 2.1) wird der “private.key” erneuert.

-> ls -la /etc/univention/ssl/test.test/private.key
-rw-r-x--- 1 root DC Backup Hosts 887 2008-09-29 16:27 /etc/univention/ssl/test.test/private.key

-> univention-certificate new -name test.test -days 1000
...
Generating RSA private key, 1024 bit long modulus
..........++++++
............................++++++
...

->  ls -la /etc/univention/ssl/test.test/private.key
-rw-r-x--- 1 root DC Backup Hosts 887 2008-09-29 16:29 /etc/univention/ssl/test.test/private.key

Sollte der Schlüssel des CA Zertifikats (/etc/univention/ssl/ucsCA/private/CAkey.pem) ebenfalls kompromittiert sein, muss dieser zuerst erneuert werden (das CA Zertifikat wird benutzt um die Rechnerzertifikate zu erstellen).

Wird ein Zertifikat überschrieben oder zurückgezogen, bleiben die Dateien unter /etc/univention/ssl/ucsCA/certs erhalten, werden aber nicht mehr berücksichtigt. Es wir lediglich die Datei /etc/univention/ssl/ucsCA/index.txt angepasst, in der der Status des Zertifikats hinterlegt ist (V=Valid, R=Revoke).

# zeige vorhandene Zertifikate
-> univention-certificate list
4F      test.test

# Status des Zertifikates
-> more /etc/univention/ssl/ucsCA/index.txt | grep 4F
V       100929142902Z           4F      unknown /C=DE ...

# Zertifikat überschreiben
-> univention-certificate new -name test.test -days 1000
-> univention-certificate list
51      test.test

# Status des alten und des neuen Zertifikates
-> more /etc/univention/ssl/ucsCA/index.txt
...
R       100929142902Z   080929145040Z   4F      u
V       100929145041Z                   51      unknown /C=DE
...

Mit freundlichen Grüßen

Felix Botner

Danke für die ausführliche Antwort.

Die Prüfung des root-Zertifikates gelingt mir nicht - mir ist nicht bewusst, das ich eine Passphrase vergeben habe - habe ich?

root@gerlinde:/etc/univention/ssl/ucsCA/private# openssl-vulnkey CAkey.pem Enter pass phrase for CAkey.pem:

Oder gibt es einen Standardwert dafür?

Mario Minati

Hallo,

die Passphrase wird automatisch durch die Scripte gesetzt und in der Datei /etc/univention/ssl/password gespeichert.

Mit freundlichen Grüßen
Janis Meybohm

Danke, jetzt kann ich auf die Datei zugreifen.

Eine Übprüfung ergibt das die Datei /etc/univention/ssl/ucsCA/private/CAkey.pem kompromitiert ist.

In der Anleitung zur SSL Infrastruktur steht wie man ein neues Root-Zertifikat erzeugt, dabei wird allerdings kein neuer private key erzeugt.

Wie mache ich das dann?

Mit freundlichen Grüßen,

Mario Minati

Hallo,

wie Sie in diesem Fall genau vorgehen müssen, ist in der UCS Dokumentation “SSL Infrastruktur unter UCS” ausführlich beschrieben. Das Erneuern des Root-Zertifikats wird im Kapitel 3.3 “Erneuern des UCS-Root-Zertifikats” behandelt. Im folgenden finden Sie den direkten Link zur Dokumentation:
http://www.univention.de/fileadmin/download/dokumentation/ucs-ssl.pdf

Mit freundlichen Grüßen
Murat Odabas

Sehr geehrter Herr Odabas,

sie beziehen sich sicherlich auf diesen Teil der Dokumentation:

[quote]3. Ein neues Root-Zertikat mit einem Gültigkeitszeitraum von 1000 Tagen wird durch
cd /etc/ univention /ssl/ ucsCA
openssl x509 -in CAcert .pem -out NewCAcert .pem
-passin file :confused: etc / univention /ssl/ password
-days 1000 -signkey private / CAkey .pem
erzeugt (hier wurde die relative lange Befehlszeile des openssl-Aufrufs der Lesbarkeit
halber durch Backslash-Zeichen auf mehrere Zeilen umgebrochen). Dieses kann
dann durch den Befehl
mv NewCAcert .pem CAcert .pem
an die Stelle des alten UCS-Root-Zertifikats verschoben werden.[/quote]

Das habe ich versucht, allerdings ändert der Befehl nichts an der Datei private/CAkey.pem, diese wird lediglich eingelesen.

Wohlgemerkt: CAkey.pem ist kompromitiert, nicht CAcert.pem

Mit freundlichen Grüßen,

Mario Minati

Hallo,

um das CAkey.pem und abhängige Zertifikatsdateien neu zu erzeugen, gehen Sie bitte wie folgt vor:
[ul]
[li] Verschieben Sie das Verzeichnis /etc/univention/ssl:

mv /etc/univention/ssl /etc/univention/ssl.old

[li] Erzeugen Sie eine neue SSL-Grundstruktur sowie ein neues Zertifikat für den DC-Master:

apt-get install --reinstall univention-ssl [/li]
[li] Setzen Sie die Dateiberechtigungen:

chgrp 'DC Backup Hosts' -R /etc/univention/ssl/openssl.cnf /etc/univention/ssl/password /etc/univention/ssl/ucsCA/ chgrp 'DC Slave Hosts' /etc/univention/ssl/ucsCA/CAcert.pem [/li]
[li] Kopieren Sie alle Dateien und Verzeichnisse, abgesehen von ucsCA, password, openssl.cnf und dem Verzeichnis welches nach dem FQDN des DC-Master Servers benannt ist aus /etc/univention/ssl.old nach /etc/univention/ssl (beachten Sie das dabei die Berechtigungen erhalten bleiben).[/li]
[li] Führen Sie die Schritte ab “Erneuerung aller Rechnerzertifikate:” aus der Beschreibung “Erneuern der SSL-Zertifikate” unter Erneuern der SSL-Zertifikate aus um die Rechnerzertifikate den neuen Gegebenheiten anzupassen.[/li][/ul]

Mit freundlichen Grüßen
Janis Meybohm

Mastodon