Table of Contents
Server ACME per certificati SECTIGO
I certificati vengono richiesti da una procedura sulla macchina acme.lnf.infn.it, che si preoccupa anche di rinnovarli 60 giorni prima della scadenza.
Per interagire con tale server è disponibile lo script bash acme-local-certs.
Quando acme-local-certs deve caricare i file su acme.lnf.infn.it, chiederà la password per l'utente acme@acme.lnf.infn.it.
Tool per la gestione dei certificati
Per scaricare e "installare" il tool acme-local-certs:
( cd /usr/local/sbin && curl -fO http://acme.lnf.infn.it/acme-local-certs && chmod +x /usr/local/sbin/acme-local-certs ) ( cd /etc && curl -fO http://acme.lnf.infn.it/acme-local-certs.conf && chmod 400 /etc/acme-local-certs.conf )
Il tool ha varie opzioni:
Usage: /var/www/html/acme-local-certs
-h help
-r Send csr to acme.lnf.infn.it
-d Download crt from acme.lnf.infn.it
-w Upload private key+crt to fortigate.lnf.infn.it
-c <file> Config file (default /etc/acme-local-certs.conf)
-H <cn> Use <cn> for cert hostname (CN) (default acme.lnf.infn.it)
-D <path> Use <path> for crt/csr directory (default /etc/pki/tls/certs)
-P <path> Use <path> for key directory (default /etc/pki/tls/private)
Nome Host (CN) personalizzato
Per default il tool acme-local-certs usa l'hostname del nodo su cui gira per determinare il CN del certificato.
È possibile però specificarne uno in /etc/acme-local-certs.conf oppure con l'opzione -H <cn> da usare sempre insieme alle altre opzioni.
Nomi multipli
Per generare certificati con nomi multipli, inserire gli alias nel file di configurazione (default /etc/acme-local-certs.conf)
Directory personalizzate
Per default il tool acme-local-certs mette i file relativi ai certificati nelle directory /etc/pki/tls/certs per csr/crt/chain e /etc/pki/tls/private per la chiave privata.
È possibile specificare delle directory in /etc/acme-local-certs.conf oppure con l'opzione -D <path> per csr/crt/chain e -P <path> per la chiave privata, entrambe da usare sempre insieme alle altre opzioni.
Non è possibile specificare i nomi dei file, che saranno sempre uguali al CN del certificato con suffisso .key, .csr, ecc.
Richiesta Certificato
Il tool genera, se non presenti, sia la chiave privata che la CSR e manda la CSR al server acme.lnf.infn.it, il tutto con il comando:
# acme-local-certs -r
Download certificati
Dopo 20-30 secondi i certificati saranno pronti. Per scaricarli (in /etc/pki/tls/certs/) usare il comando:
# acme-local-certs -d
CRONTAB
Per scaricare sempre i certificati aggiornati è possibile mettere il comando a crontab.
Questo esce con exit-status 0 solo se i file scaricati sono nuovi rispetto a quelli locali.
Quindi si può aggiungere, ad esempio la seguente riga al crontab:
15 10 * * tue /usr/local/sbin/acme-local-certs -d && systemctl reload httpd
Caricamento certificati sul firewall
Per caricare certificato e chiave privata sul nostro Fortigate (con nome <HOST>-acme):
# acme-local-certs -w
La procedura di rinnovo dei certificati aggiornerà inoltre sempre il certificato.
===== Generazione manuale CSR =====
Se necessario un certificato con nomi multipli, prima di lanciare
acme-local-certs -r, generare manualmente la CSR e se non già esistente la relativa chiave privata:
Generazione manuale chiave privata:
# openssl genrsa 4096 > /etc/pki/tls/private/hostname.f.q.d.n.key
# chmod 600 /etc/pki/tls/private/hostname.f.q.d.n.key
Generazione CSR per nomi multipli:
# openssl req -new -sha256 -key /etc/pki/tls/private/hostname.f.q.d.n.key -subj "/C=IT/ST=Rome/L=Frascati/O=INFN/OU=LNF/CN=www.yoursite.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:www.yoursite.com,DNS:yoursite.com")) -out /etc/pki/tls/certs/hostname.f.q.d.n.csr
Caricare la CSR su acme.lnf.infn.it:
acme-local-certs [-H host.cn] [-D /path/] [-P /path/] -r