aboutsummaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorSilvio Rhatto <rhatto@riseup.net>2016-09-15 16:33:30 -0300
committerSilvio Rhatto <rhatto@riseup.net>2016-09-15 16:33:30 -0300
commit5bf74adb0d8fe6f64c06ff0293efeb99a28504e4 (patch)
tree5b53a91420722151b6d305e7c4d0fc56424ace33
parent310cc3b1499578cb42b5d31664050f0a5f3f6393 (diff)
downloadpadrao-5bf74adb0d8fe6f64c06ff0293efeb99a28504e4.tar.gz
padrao-5bf74adb0d8fe6f64c06ff0293efeb99a28504e4.tar.bz2
Cleanup certs
-rw-r--r--certs.mdwn45
1 files changed, 11 insertions, 34 deletions
diff --git a/certs.mdwn b/certs.mdwn
index d3a7be2..36df6a0 100644
--- a/certs.mdwn
+++ b/certs.mdwn
@@ -8,31 +8,21 @@ Começando
Proceda com a [configuração do ambiente de trabalho administrativo](/install).
-Branch especial
----------------
-
-Mudando para o branch `certs` da configuracao do puppet:
-
- cd $FOLDER/puppet
- git pull
- git checkout certs # "checkout -b" se o branch nao existe
- git merge master
-
Gerando novas chaves
--------------------
Proceda usando o [keyringer](https://keyringer.pw):
- keyringer $HYDRA genpair ssl ssl/$DOMAIN *.$DOMAIN $FOLDER/puppet/keys/ssl/$DOMAIN
+ keyringer $HYDRA genpair ssl ssl/$DOMAIN *.$DOMAIN
No caso da chave snakeoil (fornecida quando um atacante acessa https://IP), use
- keyringer $HYDRA genpair ssl-self ssl/example.org example.org $FOLDER/puppet/keys/ssl/example.org
+ keyringer $HYDRA genpair ssl-self ssl/example.org example.org
Chaves também podem ser geradas em massa. No caso de certificados simples (não-wildcard):
for domain in $DOMAINS; do
- keyringer $HYDRA genpair ssl ssl/$domain $domain $FOLDER/puppet/keys/ssl/$domain
+ keyringer $HYDRA genpair ssl ssl/$domain $domain
done
Registrando mudancas parciais
@@ -40,8 +30,6 @@ Registrando mudancas parciais
keyringer $HYDRA git commit
keyringer $HYDRA git push
- git commit -a -m "Nova chave SSL"
- git push
Comprando um certificado
------------------------
@@ -51,40 +39,29 @@ Em seguida, compre um certificado no registrar, envie a requisição de certific
Após a renovação
----------------
- mv /path/to/$DOMAIN.crt keys/ssl/$DOMAIN.crt
- cat keys/ssl/gandi.crt >> keys/ssl/$DOMAIN.crt # baixe o intermediario para este caminho
- cat keys/ssl/$DOMAIN.pem > keys/ssl/$DOMAIN-concat.pem
- cat keys/ssl/$DOMAIN.crt >> keys/ssl/$DOMAIN-concat.pem
- cat keys/ssl/$DOMAIN.crt >> keys/ssl/$DOMAIN-concat.crt
- cat keys/ssl/$DOMAIN.crt | keyringer $HYDRA encrypt ssl/$DOMAIN.crt
+ cat /path/to/registrar.crt >> /path/to/$DOMAIN.crt
+ cat keys/ssl/$DOMAIN.crt | keyringer $HYDRA encrypt ssl/$DOMAIN.crt
# Registrando e enviando mudancas finais
keyringer $HYDRA git commit
keyringer $HYDRA git push
- git commit -a -m "Novo certificado"
- git push
-
- # Aplicando as mudancas no branch principal
- git checkout master
- git merge certs
- git push
Informações de fingerprint:
- openssl x509 -noout -text -in keys/ssl/$DOMAIN.crt
- openssl x509 -noout -fingerprint -in keys/ssl/$DOMAIN.crt
- openssl x509 -noout -fingerprint -in keys/ssl/$DOMAIN.crt -md5
+ openssl x509 -noout -text -in /path/to/$DOMAIN.crt
+ openssl x509 -noout -fingerprint -in /path/to/$DOMAIN.crt
+ openssl x509 -noout -fingerprint -in /path/to/$DOMAIN.crt -md5
Verificando os certificados assinados:
- openssl verify -verbose -CAfile keys/ssl/gandi.crt keys/ssl/$DOMAIN.crt
+ openssl verify -verbose -CAfile /path/to/registrar.crt /path/to/$DOMAIN.crt
Comunicação ao público:
* Modelos de mensagens de email disponível em `templates/certs`.
* Notificação para `https://www.$DOMAIN/pt-br/certs` dispínvel em `notices/certs*`.
-Assine as comunicações com a [chave do grupo](https://protocolos.sarava.org/trac/wiki/Comunicacao/OpenPGP), por exemplo:
+Assine as comunicações com a [chave do grupo](https://protocolos.fluxo.info/trac/wiki/Comunicacao/OpenPGP), por exemplo:
GPG_AGENT_INFO="" gpg -b --armor --default-key $KEY_FINGERPRINT -s $FOLDER/doc/notices/certs/$DOMAIN.pt-br.txt
GPG_AGENT_INFO="" gpg -b --armor --default-key $KEY_FINGERPRINT -s $FOLDER/doc/notices/certs/$DOMAIN.en.txt
@@ -102,7 +79,7 @@ Por fim, atualize os `postfix::tlspolicy_snippet` do `$DOMAIN`, caso aplicável.
Checando expiração em massa
---------------------------
-É necessário instalar o [ssl-cert-check](https://git.sarava.org/?p=ssl-wrapper.git;a=summary):
+É necessário instalar o [ssl-cert-check](https://git.fluxo.info/ssl-wrapper):
cd $FOLDER/puppet/keys/ssl