strutture:lnf:dr:calcolo:acme
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revision | |||
strutture:lnf:dr:calcolo:acme [2022/11/15 09:15] – [Generazione manuale CSR] dmaselli@infn.it | strutture:lnf:dr:calcolo:acme [2022/11/15 09:17] (current) – dmaselli@infn.it | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Server ACME per certificati SECTIGO ====== | ||
+ | |||
+ | **I certificati vengono richiesti da una procedura sulla macchina acme.lnf.infn.it, | ||
+ | ** | ||
+ | |||
+ | Per interagire con tale server è disponibile lo script bash '' | ||
+ | |||
+ | **Quando '' | ||
+ | |||
+ | |||
+ | ===== Tool per la gestione dei certificati ===== | ||
+ | |||
+ | Per scaricare e " | ||
+ | |||
+ | ( cd / | ||
+ | ( cd /etc && curl -fO http:// | ||
+ | |||
+ | |||
+ | Il tool ha varie opzioni: | ||
+ | < | ||
+ | Usage: / | ||
+ | |||
+ | -h help | ||
+ | |||
+ | -r Send csr to acme.lnf.infn.it | ||
+ | -d Download crt from acme.lnf.infn.it | ||
+ | -w Upload private key+crt to fortigate.lnf.infn.it | ||
+ | |||
+ | -c < | ||
+ | |||
+ | -H < | ||
+ | -D < | ||
+ | -P < | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | ===== Nome Host (CN) personalizzato ===== | ||
+ | |||
+ | Per default il tool acme-local-certs usa l' | ||
+ | |||
+ | È possibile però specificarne uno in ''/ | ||
+ | |||
+ | |||
+ | ===== Nomi multipli ===== | ||
+ | |||
+ | Per generare certificati con nomi multipli, inserire gli alias nel file di configurazione (default ''/ | ||
+ | |||
+ | |||
+ | ===== Directory personalizzate ===== | ||
+ | |||
+ | Per default il tool acme-local-certs mette i file relativi ai certificati nelle directory ''/ | ||
+ | |||
+ | È possibile specificare delle directory in ''/ | ||
+ | |||
+ | Non è possibile specificare i nomi dei file, che saranno sempre uguali al CN del certificato con suffisso '' | ||
+ | |||
+ | |||
+ | ===== Richiesta Certificato ===== | ||
+ | |||
+ | Il tool genera, se non presenti, sia la chiave privata che la CSR e manda la CSR al server acme.lnf.infn.it, | ||
+ | |||
+ | # acme-local-certs -r | ||
+ | |||
+ | |||
+ | ===== Download certificati ===== | ||
+ | |||
+ | Dopo 20-30 secondi i certificati saranno pronti. Per scaricarli (in ''/ | ||
+ | |||
+ | # acme-local-certs -d | ||
+ | | ||
+ | |||
+ | |||
+ | |||
+ | ===== CRONTAB ===== | ||
+ | |||
+ | Per scaricare sempre i certificati aggiornati è possibile mettere il comando a crontab. | ||
+ | |||
+ | Questo esce con exit-status 0 solo se i file scaricati sono nuovi rispetto a quelli locali. | ||
+ | |||
+ | Quindi si può aggiungere, ad esempio la seguente riga al crontab: | ||
+ | 15 10 * * tue / | ||
+ | |||
+ | |||
+ | |||
+ | ===== Caricamento certificati sul firewall ===== | ||
+ | |||
+ | Per caricare certificato e chiave privata sul nostro Fortigate (con nome < | ||
+ | # acme-local-certs -w | ||
+ | | ||
+ | La procedura di rinnovo dei certificati aggiornerà inoltre sempre il certificato. | ||
+ | |||
+ | |||
+ | |||
+ | < | ||
+ | |||
+ | |||
+ | Se necessario un certificato con nomi multipli, prima di lanciare '' | ||
+ | |||
+ | Generazione manuale chiave privata: | ||
+ | # openssl genrsa 4096 > / | ||
+ | # chmod 600 / | ||
+ | | ||
+ | Generazione CSR per nomi multipli: | ||
+ | # openssl req -new -sha256 -key / | ||
+ | |||
+ | Caricare la CSR su acme.lnf.infn.it: | ||
+ | acme-local-certs [-H host.cn] [-D /path/] [-P /path/] -r | ||
+ | | ||
+ | |||
+ | |||
+ | </ |
strutture/lnf/dr/calcolo/acme.txt · Last modified: 2022/11/15 09:17 by dmaselli@infn.it