CCCHH Wiki

User Tools

Site Tools

You are here: start » infrastructure » zertifikate
infrastructure:zertifikate

This is an old revision of the document!

Zertifikate

Für die höchstmögliche Kompatibilität mit verschiedenen Betriebssystemen und Programmen, erstellen und verifizieren wir Zertifikate via ACME mit der HTTP-01 Challenge.

Für Services, die direkt ohne weiteren Reverse-Proxy im Netz hängen, ist dies natürlich trivial. Hier muss nur der entsprechende DNS Record korrekt gesetzt werden. Entweder im Authoritative DNS für Domains unter ccchh.net oder im DNS auf dem Chaosknoten für Domains unter hamburg.ccc.de

Zertifikate für Services hinter einem Reverse-Proxy

Für Services, die hinter einem Reverse-Proxy hängen, ist der Prozess ein wenig involvierter. Deswegen hier ein How-To, wie man für Services in Z9 ein Zertifikat unter der ccchh.net Domain, mit Hilfe der vorhandenen Ansible Rollen, erstellt:

  1. Wir haben einen Wildcard DNS Record für *.ccchh.net, welcher auf den Public-Reverse-Proxy bei uns im Club zeigt. Du musst also kein DNS Record für die Domain setzen, für die du ein Zertifikat haben möchtest.
  2. Setze im ccchh-ansible Repo in der acme_challenge.conf vom Public-Reverse-Proxy (playbooks/files/configs/public-reverse-proxy/acme_challenge.conf) ein Mapping von der Domain des Zertifikats auf die IP des Hosts, auf welchem das Zertifikat generiert werden soll.
    • Setze als Port 31820, da Certbot später auf diesen listened.
  3. Füge den Host, der das Zertifikat erhalten soll zur certbot_hosts Gruppe (in inventories/hosts.yaml) hinzu.
  4. Setze für den Host, der das Zertifikat erhalten soll, die Variablen, die die cerbot Ansible Rolle braucht. Am besten in der Config für den Host unter inventories/z9/host_vars/myhost.yaml. Die zu setzenden Variablen sind:
    • certbot__version_spec: Diese Variable kann einfach auf den empty String gesetzt werden “”.
    • certbot__acme_account_email_address: Gebe hier deine E-Mail für den ACME Account an.
    • certbot__certificate_domains: Gebe hier eine List an Namen an, für welche du Zertifikate haben möchtest.
  5. Nun kannst du das Ansible deploy.yaml Playbook ausführen und du hast unter den standart Certbot Pfaden die Zertifikatsdateien (also unter: /etc/letsencrypt/live/myname.ccchh.net/).
infrastructure/zertifikate.1691028344.txt.gz · Last modified: by julian
Except where otherwise noted, content on this wiki is licensed under the following license: CC0 1.0 Universal
CC0 1.0 Universal Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki