Zertifikate erneuern


#1

Hallo liebe Univention Forum Leser.

Ich habe einen UCS Server bei dem die Root-CA abgelaufen ist.

Um das Zertifikat zu verlängern bin ich nach folgender Anleitung vorgegangen:
https://help.univention.com/t/erneuern-der-tls-ssl-zertifikate/7488

Allerdings finde ich einige Dateien nicht, die zur Verlängerung essentiell sind.

Als erstes war die Datei /etc/univention/ssl/password nicht vorhanden. Diese habe ich einfach angelegt und 7 Zeichen aus pwgen eingefügt.

Danach habe ich mir den openssl Befehl angesehen und musste feststellen dass auch kein private Ordner existiert. Darin sollte ja der Key liegen, mit dem das Root-CA generiert wird.

Wie kann ich die Umgebung soweit herrichten dass ich wieder ein Root-CA ausstellen kann?

LG Basti


#2

Hi @SebSchremser,

um das Root-CA zu erneuern geh bitte nach diesem Artikel vor:

https://help.univention.com/t/erneuern-der-kompletten-ssl-zertifikatskette/7489

Gruß Nico


#3

Hallo Nico.

Leider habe ich schon beim dritten Befehl einen Fehler.

/etc/univention/ssl/openssl.cnf und /etc/univention/ssl/password fehlen.
Sollten diese Dateien nicht bei der Neuinstallation angelegt werden?

LG Basti


#4

Hi @SebSchremser,

mit dem Aufruf von

univention-certificate new -name univention-directory-manager.$domainname -days $ssl_default_days

wird eigentlich das /etc/univention/ssl/password durch /usr/share/univention-ssl/make-certificates.sh geschrieben. Stimmen die Verzeichnisberechtigungen?

root@master:/etc/univention/ssl# ls -la
drwxrwxr-x  22  root  DC Backup Hosts 4,0K Jan  3 12:54 .
drwxr-xr-x  13  root  root            4,0K Jan  9 13:05 ..
-rw-rw----   1  root  DC Backup Hosts   20 Jun  2  2017 password
-rw-rw----   1  root  DC Backup Hosts 2,8K Jun  2  2017 openssl.cnf

Was passiert beim vollständigen manuellen Ausführen z.B. mit bash -x <command>?

Gruß Nico


#5

Hallo Nico.

Es tut mir unheimlich Leid deine Zeit vergeudet zu haben.
Nach genauerer Analyse habe ich festgestellt dass ich auf einem Slave Server unterwegs war.
Zertifikate vom Master kopiert und dort die root-CA kontrolliert. Siehe da: Keine Probleme mehr.

Asche über mein Haupt.

Dennoch vielen Dank für die Bemühungen.

LG Basti