/ crypto

Automatisierter Zertifikatsimport

Ihr könnt (und sollt!) bei uns ja nun schon lange eigene TLS-Zertifikate für den Webserver benutzen, jedoch war das bisher immer mit einer Mail an den Support verbunden, nach der wir das Zertifikat dann einbinden. Wir haben das bisher nicht etwa so gehandhabt, weil wir zu faul waren, uns etwas anderes zu überlegen oder weil wir euch ärgern wollten, das hatte schlicht sicherheitstechnische Hintergründe: Die Zertifikate werden in unser HTTPS-Frontend Pound eingepflegt und das betrachten wir als außerordentlich kritische Infrastruktur, bei der wir so wenig Angriffsvektoren wie möglich öffnen wollen. Da es ja nun aber doch so aussieht, als ob die freie Verfügbarkeit von TLS-Zertifikaten für jeden direkt vor der Tür steht und wir dies soweit wie möglich automatisieren wollen, haben wir uns mal ein paar Gedanken gemacht, wie das mit dem Zertifikatsimport (so weit wie möglich) ohne unser Zutun ablaufen kann.

Wenn ihr diesen Artikel lest, ist die Wahrscheinlichkeit, dass ihr bereits eigene TLS-Zertifikate benutzt, recht hoch und ihr habt sicherlich schon mal mit unserem uberspace-prepare-certificate-Skript zu tun gehabt:

[wiebke@amnesia ~]$ uberspace-prepare-certificate -k /home/wiebke/tls/unverschluesselter-key.pem -c /home/wiebke/tls/certificate.pem