Moin,
Ich habe damals nach der Installation von Linuxmuster 7.0 eine Konfiguration mit öffentlichen
Domainnamen gewählt und das System auf allen Rechnern auf LetsEncrypt-Zertifikate umgestellt. Es hat sich herausgestellt, dass die automatische Aktualisierung dieser Zertifikate an verschiedenen Stellen nicht oder nur unzuverlässig funktioniert, so dass ich beschlossen habe alles auf ein eigenes Zertifikat mit entsprechender Laufzeit umzustellen.
Leider habe ich die Originalzertifikate damals wohl nicht gesichert (oder finde sie einfach nicht wieder) und weiß leider auch nicht mehr, wie ich die Umstellungen eigentlich umgesetzt habe.
Wie kann ich neue (eigene) Zertifikate erstellen und in Linuxmuster (Server/Firewall/AD/CUPS/Unifi-Controler) einbinden?
Für zielführende Hinweise wäre ich dankbar,
Carsten Lomann
Du könntest erstmal nach allen Zertifikaten auf LM7 suchen…
sudo grep -rnw '/' -e '-----BEGIN RSA PRIVATE KEY-----'
… und dir einen Überblick verschaffen
Hallo Carsten.
Wir machen das genauso. Die LE-Zertifikate werden von der OPNSense direkt erneuert. Ein kleines Script holt per Cronjob in regelmäßigen Abständen das aktualisierte Zertifikat von der OPNSense, legt es auf dem Server in das richtige Verzeichnis und startet das WebUI neu. Danach ist alles auf dem aktuellen Stand. Warum willst Du zurück zu selbstsignierten Zertifikaten, wenn es doch auf automatischem Weg auch so geht?
Viele Grüße,
Michael
Moin,
@ Michael: mehrere Gründe:
Die Aktualisierung mit Skript funktioniert nicht für alle Systeme. Ginge es nur um die Linuxmuster-Konsole wäre das kein Thema. Aber ich habe zusätzlich die OPensense auf LE umgestellt, die zwar die aktuellen Zertifikate lädt, aber leider erst nach einem Neustart benutzt, den ich aber irgendwie nicht automatisiert bekomme. Erschwerend kommt hinzu, dass das System am Zweit-Standort auf wirklich sehr altersschwacher Hardware installiert ist und ich jegliche Neustarts gerne auf ein Minimum reduzieren möchte, da die meisten Probleme just dabei aufgetreten sind.
Zusätzlich habe ich den Unifi-Controler auf LE umgestellt, wo ich die Aktualisierung schlicht nicht automatisch hinbekomme.
Hinzu kommt, dass die Umstellung des Radius-Servers auf LE zwar mal funktioniert hat, inzwischen aber auch nicht mehr richtig funktioniert. Somit werden die meisten Windows-Clients und zunehmend Android-Clients aus dem WLan ausgesperrt. Folglich müsste ich dort eh ein eigenes Zertifikat einbinden und das entsprechende Root-Zertifikat auf den Endgeräten einspielen. Wenn dies aber sowieso erforderlich ist, erübrigt sich eigentlich auch das rumgehampel mit den LE-Zertifikaten.
Daher mein Wunsch, meine damalige Umstellung „zurückzudrehen“, idealerweise mit einem neuen eigenen Zertifikat.
@Heiko_Hoch:
Hier mal der ANfang der besagten Ausgabe:
root@server:~# sudo grep -rnw '/' -e '-----BEGIN RSA PRIVATE KEY-----'
/root/server.cert.bundle.pem:100:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/server.cert.bundle.pem:100:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/server.key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/docker.key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/firewall.key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/samba/server.key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/cakey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/mail.key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/ssl-backup/opsi.key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/radius-key.pem:1:-----BEGIN RSA PRIVATE KEY-----
/root/.ssh/id_rsa:1:-----BEGIN RSA PRIVATE KEY-----
/usr/local/lib/python3.6/dist-packages/gevent/tests/keycert.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/local/lib/python3.6/dist-packages/gevent/tests/badkey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/local/lib/python3.6/dist-packages/gevent/tests/badkey.pem:21:-----BEGIN RSA PRIVATE KEY-----
/usr/local/lib/python3.6/dist-packages/gevent/tests/badcert.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/local/lib/python3.6/dist-packages/gevent/tests/badcert.pem:19:-----BEGIN RSA PRIVATE KEY-----
/usr/local/lib/python3.6/dist-packages/gevent/tests/wrongcert.pem:1:-----BEGIN RSA PRIVATE KEY-----
Übereinstimmungen in Binärdatei /usr/lib/x86_64-linux-gnu/libgio-2.0.so.0.5600.4
Übereinstimmungen in Binärdatei /usr/lib/x86_64-linux-gnu/libssh2.so.1.0.1
Übereinstimmungen in Binärdatei /usr/lib/python2.7/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.pyc
/usr/lib/python2.7/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.py:45: rsaKeyPEM = u'''-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python2.7/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.py:71: ('test', u'''-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python2.7/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.py:86: ('rocking', u'''-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python2.7/dist-packages/Crypto/SelfTest/Cipher/test_pkcs1_15.py:68: '''-----BEGIN RSA PRIVATE KEY-----
Übereinstimmungen in Binärdatei /usr/lib/python2.7/dist-packages/Crypto/SelfTest/Cipher/test_pkcs1_15.pyc
/usr/lib/python2.7/dist-packages/Crypto/SelfTest/Signature/test_pkcs1_15.py:110: """-----BEGIN RSA PRIVATE KEY-----
Übereinstimmungen in Binärdatei /usr/lib/python2.7/dist-packages/Crypto/SelfTest/Signature/test_pkcs1_15.pyc
Übereinstimmungen in Binärdatei /usr/lib/python3/dist-packages/Crypto/SelfTest/PublicKey/__pycache__/test_importKey.cpython-36.pyc
/usr/lib/python3/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.py:45: rsaKeyPEM = '''-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python3/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.py:71: ('test', '''-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python3/dist-packages/Crypto/SelfTest/PublicKey/test_importKey.py:86: ('rocking', '''-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python3/dist-packages/Crypto/SelfTest/Cipher/test_pkcs1_15.py:68: '''-----BEGIN RSA PRIVATE KEY-----
Übereinstimmungen in Binärdatei /usr/lib/python3/dist-packages/Crypto/SelfTest/Cipher/__pycache__/test_pkcs1_15.cpython-36.pyc
/usr/lib/python3/dist-packages/Crypto/SelfTest/Signature/test_pkcs1_15.py:110: """-----BEGIN RSA PRIVATE KEY-----
Übereinstimmungen in Binärdatei /usr/lib/python3/dist-packages/Crypto/SelfTest/Signature/__pycache__/test_pkcs1_15.cpython-36.pyc
Übereinstimmungen in Binärdatei /usr/lib/python3/dist-packages/twisted/conch/test/__pycache__/keydata.cpython-36.pyc
/usr/lib/python3/dist-packages/twisted/conch/test/keydata.py:125:privateRSA_openssh = b"""-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python3/dist-packages/twisted/conch/test/keydata.py:139:privateRSA_openssh_alternate = b"""-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python3/dist-packages/twisted/conch/test/keydata.py:153:privateRSA_openssh_encrypted = b"""-----BEGIN RSA PRIVATE KEY-----
/usr/lib/python3/dist-packages/twisted/conch/test/keydata.py:171:privateRSA_openssh_encrypted_aes = b"""-----BEGIN RSA PRIVATE KEY-----
Übereinstimmungen in Binärdatei /usr/lib/dropbear/dropbearconvert
/usr/share/doc/libssl-dev/demos/smime/signer.pem:26:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/smime/cakey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/smime/signer2.pem:26:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/cms/signer.pem:26:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/cms/cakey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/cms/signer2.pem:26:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/certs/apps/rootkey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/certs/apps/ckey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/certs/apps/skey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/certs/apps/intkey.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libssl-dev/demos/certs/apps/skey2.pem:1:-----BEGIN RSA PRIVATE KEY-----
/usr/share/doc/libnet-ssleay-perl/examples/server_key.pem:1:-----BEGIN RSA PRIVATE KEY-----
Ich sehe ehrlich gesagt nicht, wie mir das weiterhilft, aber ich bi uach schon eine Weile aus dem System raus und muss mich erst wieder einarbeiten…