Alle (Web-)Server innerhalb des MWN benötigen Zertifikate für sichere TLS Verbindungen. Der von uns empfohlene Anbieter ist Let's Encrypt. Die primäre Validierung von Let's Encrypt ist das HTTP-Challenge Verfahren. Dies ist aber nicht möglich wenn der Server nur vom MWN aus erreichbar ist. Als Alternative bietet Let's Encrypt auch ein DNS Challenge Verfahren an, welches aber aktuell manuell gepflegt werden muss, sofern Ihr DNS Eintrag beim LRZ Nameserver liegt.
Um dieses Problem zu lösen, bietet das IT-Management der TUM einen ACME-DNS-Dienst an, der den Prozess der DNS-Validierung automatisiert und den Erhalt und die automatische Erneuerung von Let's Encrypt-Zertifikaten mit einem CNAME-Eintrag vereinfacht.
Wichtig: Wenn Ihr Server von außerhalb des MWN erreichbar ist, sollten Sie anstelle des DNS- das Let's Encrypt-HTTP-Challenge Verfahren verwenden.
ACME-DNS löst zwei Probleme
- Automatisierung des DNS-Challenge Verfahrens: die DNS Records können per API gesetzt werden.
- Sicherheit: ACME-DNS bietet eine API mit begrenztem Umfang ausschließlich für TXT-Datenaktualisierung auf der Subdomäne „_acme-challenge“, wodurch Sicherheitsrisiken minimiert werden, falls die API-Credentials kompromittiert werden.
Weitere technische Details finden Sie im EFF deeplinks blog post.
Anleitung (am Beispiel Ubuntu 22.04)
Nehmen wir an, dass Sie einen internen Server unter <my-internal-server.it.tum.de> betreiben, der ein Zertifikat braucht (entsprechend anpassen, ohne spitze Klammern).
- Certbot installieren: eine Anleitung finden Sie hier https://certbot.eff.org/instructions
- ACME-DNS-Client installieren: https://github.com/acme-dns/acme-dns-client
- Auf https://github.com/acme-dns/acme-dns-client/releases/latest den Client laden
- Entpacken Sie das Archiv und verschieben Sie den Client:
sudo mv acme-dns-client /usr/local/bin - Machen Sie die Client ausführbar:
chmod +x /usr/local/bin/acme-dns-client
- MWN Verbindung aktivieren z.B. über VPN
- Registrieren Sie die Domain bei acme-dns:
sudo /usr/local/bin/acme-dns-client register -d my-internal-server.it.tum.de -s https://acme-dns.it.tum.deExemplarische Ausgabe: _acme-challenge.my-internal-server.it.tum.de. IN CNAME 407147b1-2c1a-4a7a-9698-bfbf11b58d2a.acme-dns.it.tum.de. - Es wurde eine zufällige Subdomain (
407147b1-2c1a-4a7a-9698-bfbf11b58d2a.acme-dns.it.tum.de) erzeugt, welche Sie über einen CNAME Eintrag (_acme-challenge.my-internal-server.it.tum.de) unter Ihrer Domain referenzieren müssen. - Sofern Sie Zugang zum Webdns haben, können Sie den Eintrag wie folgt anlegen:
- Wenn Sie keinen Zugang zum Webdns haben wenden Sie sich an Ihren Domain Admin um den Eintrag (exemplarisches Beispiel oben) anlegen zu lassen
- Zertifikat mit Certbot anfordern:
sudo certbot -v certonly --manual --preferred-challenges dns --manual-auth-hook 'acme-dns-client' -d my-internal-server.it.tum.de
→ Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/my-internal-server.it.tum.de/fullchain.pem ... - Automatische Erneuerung einrichten: https://eff-certbot.readthedocs.io/en/latest/using.html#setting-up-automated-renewal
Weitere Links für Plugins zu ACME-DNS
- Caddy plugin: https://github.com/caddy-dns/acmedns
- Lego: https://go-acme.github.io/lego/dns/acme-dns/
- Traefik plugin: https://doc.traefik.io/traefik/user-guides/docker-compose/acme-dns/
- Windows / IIS: https://www.win-acme.com/
Überblick
Inhalte
Apps
Aufgabenbericht