[Eisfair_dev] certs_dehydrated - v0.90.8 - testing

Juergen Edner juergen at eisfair.org
Mi Jan 11 16:32:17 CET 2017


Hallo Stefan,

> ich bin jetzt auch endlich dazu gekommen und habe das Paket (0.90.9)
> installiert und getestet. Ich war ein wenig erstaunt, dass nach
> Installation und Konfiguration noch kein Zertifikat erzeugt bzw.
> heruntergeladen wurde. Das passiert erst nachdem ich ein "3. Request
> certificate update" gemacht habe. Danach funktionierte allerdings alles
> tadellos.

ich vermute, dass Du die Abfrage eines Zertifikates direkt nach
der  Generierung der Konfiguration erwartet hast, korrekt? Dies
habe ich bis dato noch nicht implementiert, da ich erst einmal
die Basisfunktionen bereitstellen wollte. Ich setze den Punkt
einmal auf die Todo-Liste.

> Ich habe gesehen, dass das neue Zertifikat eine Haltbarkeit von einem
> viertel Jahr hat. Wird das rechtzeitig vorher automatisch verlängert?
> Oder muss ich daran denken und irgendwo Hand anlegen?

Es erfolgt zyklisch eine Prüfung des Zertifikates entsprechend den
eingestellten Vorgaben. Wenn die Zertifikatsgültigkeit kleiner 30 Tage
ist sollte dann automatisch eine Erneuerung erfolgen.

DEHYDRATED_CHECK_ON_START='no'
    # check cert(s) after boot: yes or no
DEHYDRATED_CHECK_CRON='yes'
    # use cron to check cert(s): yes or no
DEHYDRATED_CHECK_CRON_SCHEDULE='13 0 * * 0'
    # cron configuration string

> Und noch eine Frage zu Certs, die damit aber in direktem Zusammenhang
> steht: Von vorher habe ich eine CA und ein Zertifikat erstellt, womit
> die SSL-verschlüsselung stattgefunden hat. Die brauche ich ja nun
> eigentlich nicht mehr.

Dies ist korrekt, aber Du kannst diese natürlich erst einmal parallel
im Verzeichnis behalten und schauen, ob Alles zur Zufriedenheit
funktioniert.

> Und wie ich das mit Zertifikaten massen sollte,
> wollte ich die widerrufen. Leider finde ich im ganzen Certs-Paket keine
> Möglichkeit dazu. Stell ich mich nur zu doof an oder gibt es die
> Möglichkeit wirklich nicht? Oder muss ich einfach die
> Zertifikats-Dateien löschen?

Da dies eine CA-Funktion ist widerrufst Du ein Zertifikat über folgenden
Menüpunkt:
Certs Service
->Manage certificates
  ->1
    ->1
      ->7 - revoke a certificate

> Oder muss ich einfach die Zertifikats-Dateien löschen?

Ich persönlich bevorzuge es ein Zertifikat zu widerrufen und nicht die
Dateien zu löschen, da diese natürlich auch in der Zertifkatsdatenbank
(/usr/local/ssl/index.txt) einer CA vermerkt sind.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org


Mehr Informationen über die Mailingliste Eisfair_dev