AHa-IT

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: AHa Wiki » Linux » Univention Corporate Server » Zertifiats Authority
lx:ucs:ca

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
lx:ucs:ca [07.11.2022 15:28] – angelegt Andy Haubenschmidlx:ucs:ca [02.04.2025 21:06] (aktuell) – [CodeSigning] Andy Haubenschmid
Zeile 1: Zeile 1:
 ====== Zertifiats Authority ====== ====== Zertifiats Authority ======
-{{ :lx:uni:ca.jpg?nolink|}}+{{ :lx:ucs:ca.jpg?nolink|}}
  
 ===== Neues CA Zertifikat erzeugen ===== ===== Neues CA Zertifikat erzeugen =====
Zeile 11: Zeile 11:
 ===== neues Server Zertifikat erstellen ===== ===== neues Server Zertifikat erstellen =====
 <code> <code>
 +echo \(`date -d 18-Oct-2027 +'%s'` - `date +'%s'`\) /86400 |bc
 . /usr/share/univention-ssl/make-certificates.sh . /usr/share/univention-ssl/make-certificates.sh
 declare -x ServerName=FQHN declare -x ServerName=FQHN
Zeile 18: Zeile 19:
 </code> </code>
 Ändern oder Anpassen der SAN auf ca Zeile 103. Die Zeile enthält bereits ''subjectAltName = DNS:${ServerName}, ...'' den FQDN und den einfachen Hostnamen. Es können kommagetrennt weitere SAN angegeben werden, wie z.B. ''IP:1.2.3.4'' oder ''DNS:ein.anderer.hostname.domain''. Ändern oder Anpassen der SAN auf ca Zeile 103. Die Zeile enthält bereits ''subjectAltName = DNS:${ServerName}, ...'' den FQDN und den einfachen Hostnamen. Es können kommagetrennt weitere SAN angegeben werden, wie z.B. ''IP:1.2.3.4'' oder ''DNS:ein.anderer.hostname.domain''.
 +
 +Es kann auch in der Sektion  ''[ v3_req ]'' eine Linie mit ''extendedKeyUsage = serverAuth'' angehängt werden, damit das Zertifikat vom Host auch für RDS Verbindungen benutzt werden kann.
 Dann die Datei ''openssl.cnf'' speichern. Dann die Datei ''openssl.cnf'' speichern.
 <code> <code>
Zeile 24: Zeile 27:
 univention-certificate renew -name ${ServerName} -days 1825 univention-certificate renew -name ${ServerName} -days 1825
 </code> </code>
 +Zertifikatsfingerabdruck auslesen und auf dem Terminalserver via  
 +''wmic /namespace:rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="Fingerabdruck"'' das Zertifikat für RDP verwenden.
 ===== sub-CA Zertifikat erstellen ===== ===== sub-CA Zertifikat erstellen =====
 <code> <code>
Zeile 58: Zeile 62:
 Danach den Zertifikatsrequest mit ''openssl req -new -config openssl.cnf -key private.key -out req.pem'' erstellen und dann von der CA unterschreiben lassen: ''univention-certificate renew -name ${ServerName} -days 1825'' Danach den Zertifikatsrequest mit ''openssl req -new -config openssl.cnf -key private.key -out req.pem'' erstellen und dann von der CA unterschreiben lassen: ''univention-certificate renew -name ${ServerName} -days 1825''
  
-=== .p12 Datei erzeugen ===+===== .p12 Datei erzeugen =====
 <code> <code>
 export ServerName=my.domain.name export ServerName=my.domain.name
Zeile 64: Zeile 68:
 </code> </code>
 [[https://help.hcltechsw.com/appscan/Standard/9.0.3/en-US/t_ConvertthepfxCertificatetopemFormat068.html|Quelle]] [[https://help.hcltechsw.com/appscan/Standard/9.0.3/en-US/t_ConvertthepfxCertificatetopemFormat068.html|Quelle]]
 +===== CodeSigning =====
 +To be recognized as a CodeSigning Certificate, it is needed to set also the following extended Key Usage 'EKU' Property: Extended Use key flag -eku ''1.3.6.1.5.5.7.3.3'' so the cert can be used for code signing by Powershell.
 +
 +To generate a CodeSigning Cert with the Univention CA, follow these steps:
 +  - create a new cert by using univention-certificate new, use a name you recognize as CS Cert
 +  - create a special extension file
 +  - generate the cert again manually by the CA with the extension
 +  - use this cert for signing
 +
 +<code>
 +declare -x CertName=CodeSign-YourName
 +declare -x ExportPassword=SuperSecurePasswordForP12File
 +
 +echo \(`date -d 18-Oct-2027 +'%s'` - `date +'%s'`\) /86400 |bc > days
 +declare -x days=`cat days`
 +
 +. /usr/share/univention-ssl/make-certificates.sh
 +univention-certificate new -name "${CertName}" -days ${days}
 +cd /etc/univention/ssl/${CertName}
 +
 +echo "
 +authorityKeyIdentifier = keyid,issuer
 +basicConstraints       = CA:FALSE
 +subjectAltName         = @alt_names
 +extendedKeyUsage       = codeSigning
 +[alt_names]
 +DNS.1 = ${CertName}
 +" > code_sign_cert.conf
 +
 +grep output_password /etc/univention/ssl/openssl.cnf
 +openssl x509 -req -CA ../ucsCA/CAcert.pem -CAkey ../ucsCA/private/CAkey.pem -in req.pem -out cert.pem -days ${days} -CAcreateserial -extfile code_sign_cert.conf 
 +
 +openssl pkcs12 -export -out /root/${CertName}.p12 -in cert.pem -inkey private.key -passout pass:${ExportPassword}
 +</code>
 +
 +created with thanks to the infos found here: [[https://stackoverflow.com/questions/72207572/how-to-create-a-self-signed-code-signing-certificate-from-a-csr]]
lx/ucs/ca.1667834927.txt.gz · Zuletzt geändert: von Andy Haubenschmid

Seiten-Werkzeuge