Certyfikaty – Programowanie

Debian certyfikaty

Różne operacje na certyfikatach:

1. Wgrywamy wszystkie wymagane certyfikaty do /tmp/gus-cert
2. Przygotowujemy tylko certyfikaty w formacie PEM
3. Mogą mieć rozszerzenia .pem lub .crt
4. Zamieniamy rozszerzenia na .crt

# file *

certum_ov_tls_g2_r39_CA.crt: PEM certificate
certum_root.crt:             PEM certificate
rootca.crt:                  PEM certificate
statca.crt:                  PEM certificate
stat_gov_pl.crt:             PEM certificate

Kopiujemy wszystkie certyfikaty do katalogu: /usr/local/share/ca-certificates

# cp certum_ov_tls_g2_r39_CA.crt  /usr/local/share/ca-certificates/
......

# update-ca-certificates --fresh

Clearing symlinks in /etc/ssl/certs...
done.
Updating certificates in /etc/ssl/certs...
142 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

# systemctl restart apache2

Katalogi:

/etc/ssl/certs/                      - z tego korzystają usługi

/etc/ssl/certs/ca-certificates.crt   - plik wynikowy

/usr/local/share/ca-certificates/    - roboczy dla update-ca-certificates

Czytaj dalej Debian certyfikaty

Certbot – korekty parametru curves

https://claude.ai/chat/f46e500d-d53c-4f3f-8d6f-70df53d31673

Czytaj dalej Certbot – korekty parametru curves

Aktualizacja certyfikatu domeny

Dla konkretnej domeny

# certbot certonly -d firma.domena.pl

Dla wszystkich certyfikatów

# certbot renew

nowa domena – apache2, certyfikat

Dodawanie nowej domeny – katalog, konfiguracja Apache2, certbot

Czytaj dalej nowa domena – apache2, certyfikat

certbot – obsługa certyfiktatów

Czytaj dalej certbot – obsługa certyfiktatów

certbot installation

Przygotowanie – snap
Czytaj dalej certbot installation

Let’s Encrypt – nowy certyfikat

# certbot certonly --webroot -w /var/www/html/MYAPP/webroot -d MYDOMAIN.pl

# certbot renew

# certbot delete -d domena.pl

Czytaj dalej Let’s Encrypt – nowy certyfikat

openssl – server req + podpis CA

Utworzenie requestu serwera (bez hasła dla klucza)

# openssl req -config openssl-server.cnf 
              -newkey rsa:2048 -sha256 -nodes 
              -out /etc/ssl/requests/h25.csr
              -keyout /etc/ssl/private/h25.pem  -outform PEM

Czytaj dalej openssl – server req + podpis CA

openssl – plik konfiguracyjny serwera openssl-server.cnf

# nano /etc/ssl/openssl-server.cnf

Czytaj dalej openssl – plik konfiguracyjny serwera openssl-server.cnf

openssl – certyfikat serwera self-signed – bez CA

Nowy certyfikat serwera: bez CA – na 3 lata – bez zaszyfrowanego klucza

# openssl req -newkey -x509 -nodes rsa:4096 -days 1089 
              -keyout /etc/ssl/private/serverkey.pem 
              -out    /etc/ssl/newcerts/servercert.pem

Weryfikacja

# openssl x509 -purpose -in /etc/ssl/newcerts/servercert.pem

Czytaj dalej openssl – certyfikat serwera self-signed – bez CA

openssl – plik konfiguracyjny CA – openssl-ca.cnf

https://stackoverflow.com/questions/21297139/how-do-you-sign-a-certificate-signing-request-with-your-certification-authority/21340898#

Plik konfiguracyjny CA

# nano openssl-ca.cnf

Czytaj dalej openssl – plik konfiguracyjny CA – openssl-ca.cnf

openssl – utworzenie CA, i certyfikatu serwera

Utworzenie CA i certyfikat serwera

Czytaj dalej openssl – utworzenie CA, i certyfikatu serwera

openssl – ciphers

# openssl ciphers -v

TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any  Au=any  Enc=AESGCM(256) Mac=AEAD

TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
....

LetsEncrypt – usage

/etc/apache2/sites-available/000-default.conf

<VirtualHost 156.111.131.212:80> 
  ServerAdmin webmaster@localhost         
  DocumentRoot /var/www/html/h25         
  ServerName h25.pl 
</VirtualHost>

# certbot certonly --webroot -w /var/www/html/h25 -d h25.pl 

/etc/letsencrypt/live/h25.pl/fullchain.pem
/etc/letsencrypt/live/h25.pl/privkey.pem

# certbot renew

LetsEncrypt – rozszerzenie domeny

Można dodać/usunąć domenę do certyfikatu już istniejącego np. o nazwie example.com:

# certbot certonly --cert-name example.com 
                   -d example.org,www.example.org

Nowy certyfikat będzie zawierał teraz dwie nazwy example.org oraz www.example.org

LetsEncrypt – webroot

https://certbot.eff.org/docs/using.html

# certbot certonly --webroot -w /var/www/rewita/webroot 
                             -d tmp.rewita.pl 
                             -d crm.rewita.pl

Czytaj dalej LetsEncrypt – webroot

Odnowienie certyfikatu

Odnowienie co 60 dni poprzez moduł wykorzystujący crona

Odnawia wszystkie certyfikaty, które zbliżają się do wygaśnięcia <= 30 dni do końca. Komendę można wydawać codziennie lub raz na tydzień, można dodać do crona.

# certbot renew

Tylko sprawdza działania –dry-run

# certbot renew --dry-run

Zmiana długości klucza z 2048 na 4096

# certbot renew --rsa-key-size 4096

Czytaj dalej Odnowienie certyfikatu

Certyfikaty wildcard

DNS plugin musi być zainstalowany dla dostawcy dns

Lista pluginów

# certbot -a <dns-plugin> -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

Ręczna konfiguracja certyfikatów

Ręczna konfiguracja certyfikatów:

# certbot certonly --authenticator standalone

Przed zainstalowaniem trzeba zatrzymać serwer ręcznie lub za pomocą skryptów:

# certbot certonly --authenticator standalone --pre-hook "apache2ctl -k stop" --post-hook "apache2ctl -k start"

Czytaj dalej Ręczna konfiguracja certyfikatów

Certbot

https://certbot.eff.org/lets-encrypt/debianstretch-apache

# apt-get install python-certbot-apache -t stretch-backports

# certbot --authenticator webroot --installer apache

Czytaj dalej Certbot