From 5bf74adb0d8fe6f64c06ff0293efeb99a28504e4 Mon Sep 17 00:00:00 2001 From: Silvio Rhatto Date: Thu, 15 Sep 2016 16:33:30 -0300 Subject: Cleanup certs --- certs.mdwn | 45 +++++++++++---------------------------------- 1 file changed, 11 insertions(+), 34 deletions(-) diff --git a/certs.mdwn b/certs.mdwn index d3a7be2..36df6a0 100644 --- a/certs.mdwn +++ b/certs.mdwn @@ -8,31 +8,21 @@ Começando Proceda com a [configuração do ambiente de trabalho administrativo](/install). -Branch especial ---------------- - -Mudando para o branch `certs` da configuracao do puppet: - - cd $FOLDER/puppet - git pull - git checkout certs # "checkout -b" se o branch nao existe - git merge master - Gerando novas chaves -------------------- Proceda usando o [keyringer](https://keyringer.pw): - keyringer $HYDRA genpair ssl ssl/$DOMAIN *.$DOMAIN $FOLDER/puppet/keys/ssl/$DOMAIN + keyringer $HYDRA genpair ssl ssl/$DOMAIN *.$DOMAIN No caso da chave snakeoil (fornecida quando um atacante acessa https://IP), use - keyringer $HYDRA genpair ssl-self ssl/example.org example.org $FOLDER/puppet/keys/ssl/example.org + keyringer $HYDRA genpair ssl-self ssl/example.org example.org Chaves também podem ser geradas em massa. No caso de certificados simples (não-wildcard): for domain in $DOMAINS; do - keyringer $HYDRA genpair ssl ssl/$domain $domain $FOLDER/puppet/keys/ssl/$domain + keyringer $HYDRA genpair ssl ssl/$domain $domain done Registrando mudancas parciais @@ -40,8 +30,6 @@ Registrando mudancas parciais keyringer $HYDRA git commit keyringer $HYDRA git push - git commit -a -m "Nova chave SSL" - git push Comprando um certificado ------------------------ @@ -51,40 +39,29 @@ Em seguida, compre um certificado no registrar, envie a requisição de certific Após a renovação ---------------- - mv /path/to/$DOMAIN.crt keys/ssl/$DOMAIN.crt - cat keys/ssl/gandi.crt >> keys/ssl/$DOMAIN.crt # baixe o intermediario para este caminho - cat keys/ssl/$DOMAIN.pem > keys/ssl/$DOMAIN-concat.pem - cat keys/ssl/$DOMAIN.crt >> keys/ssl/$DOMAIN-concat.pem - cat keys/ssl/$DOMAIN.crt >> keys/ssl/$DOMAIN-concat.crt - cat keys/ssl/$DOMAIN.crt | keyringer $HYDRA encrypt ssl/$DOMAIN.crt + cat /path/to/registrar.crt >> /path/to/$DOMAIN.crt + cat keys/ssl/$DOMAIN.crt | keyringer $HYDRA encrypt ssl/$DOMAIN.crt # Registrando e enviando mudancas finais keyringer $HYDRA git commit keyringer $HYDRA git push - git commit -a -m "Novo certificado" - git push - - # Aplicando as mudancas no branch principal - git checkout master - git merge certs - git push Informações de fingerprint: - openssl x509 -noout -text -in keys/ssl/$DOMAIN.crt - openssl x509 -noout -fingerprint -in keys/ssl/$DOMAIN.crt - openssl x509 -noout -fingerprint -in keys/ssl/$DOMAIN.crt -md5 + openssl x509 -noout -text -in /path/to/$DOMAIN.crt + openssl x509 -noout -fingerprint -in /path/to/$DOMAIN.crt + openssl x509 -noout -fingerprint -in /path/to/$DOMAIN.crt -md5 Verificando os certificados assinados: - openssl verify -verbose -CAfile keys/ssl/gandi.crt keys/ssl/$DOMAIN.crt + openssl verify -verbose -CAfile /path/to/registrar.crt /path/to/$DOMAIN.crt Comunicação ao público: * Modelos de mensagens de email disponível em `templates/certs`. * Notificação para `https://www.$DOMAIN/pt-br/certs` dispínvel em `notices/certs*`. -Assine as comunicações com a [chave do grupo](https://protocolos.sarava.org/trac/wiki/Comunicacao/OpenPGP), por exemplo: +Assine as comunicações com a [chave do grupo](https://protocolos.fluxo.info/trac/wiki/Comunicacao/OpenPGP), por exemplo: GPG_AGENT_INFO="" gpg -b --armor --default-key $KEY_FINGERPRINT -s $FOLDER/doc/notices/certs/$DOMAIN.pt-br.txt GPG_AGENT_INFO="" gpg -b --armor --default-key $KEY_FINGERPRINT -s $FOLDER/doc/notices/certs/$DOMAIN.en.txt @@ -102,7 +79,7 @@ Por fim, atualize os `postfix::tlspolicy_snippet` do `$DOMAIN`, caso aplicável. Checando expiração em massa --------------------------- -É necessário instalar o [ssl-cert-check](https://git.sarava.org/?p=ssl-wrapper.git;a=summary): +É necessário instalar o [ssl-cert-check](https://git.fluxo.info/ssl-wrapper): cd $FOLDER/puppet/keys/ssl -- cgit v1.2.3