Hallo in die Runde,
wir setzen noch 7.2 ein und haben uns jetzt folgende Anleitung zurecht gemacht, um das Serverzertifikat um den SAN-Eintrag zu erweitern, um die lästige Fehlermeldung der Schulkonsole im Browser zu umgehen:
- CNF-Datei für CSR anlegen:
a. Login auf Schulserver
b. cd /etc/linuxmuster/ssl
c. vi server2csr.cnf:
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
CN = LINUXMUSTER.LAN
OU = LINUXMUSTER
O = Grundschule Linuxmuster
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = server.linuxmuster.lan
2. CSR (Certificate Signing Request) erstellen unter Verwendung des schon existierenden Keys: openssl req -new -key server.key.pem -out server2.csr -config server2csr.cnf
3. Cakey ermitteln, da dieser gebraucht wird für Zert-Erstellung mittels CA-Zert: less /etc/linuxmuster/.secret/cakey
4. Neues Zertifikat erstellen: openssl x509 -req -in server2.csr -CA cacert.pem -CAkey cakey.pem -CAcreateserial -out server2.cert.pem -days 3650 -sha256 -extfile server2csr.cnf -extensions req_ext
5. Bundle erstellen: cp server2.cert.pem server2.cert.bundle.pem
a. dort manuell den Inhalt aus existierendem server.key.pem oben einfügen
6. Alte Server-CSR+Zertifikat+Bundle ggf. wegsichern und dann durch neue ersetzen:
a. mv server2.csr server.csr
b. mv server2.cert.pem server.cert.pem
c. mv server2.cert.bundle.pem server.cert.bundle.pem
7. Per Windows-GPO das unveränderte CAcert in Vertrauenswürdige Stammzertifizierungsstellen einfügen
Folgende Fragen zu dem Vorgehen:
- Ist es grundsätzlich ok dies so zu tun in Bezug auf die Kommunikation der einzelnen Komponenten von linxumuster (Firewall, samba, sophomorix, etc)?
- Ist der so erfolgte Austausch updatesicher für 7.2-Patches und ggf. auch für das Upgrade auf 7.3?
- Hat die 7.3 ggf. das Thema SAN sowieso schon im Standard mit im Bauch?
Danke vorab und VG,
Frank