Das Osterprojekt dieses Jahr sollte sich mit EMail-Servern, Nameservern, DNSSEC und ACME (LetsEncrypt) beschäftigen- in Teil 1 berichtete ich über die Einrichtung eines authoritative DNS server für die diversen Server in meinem Docker-Zoo. Heute soll es um die Einrichtung eines lokalen ACME Servers für die automatisierte Verteilung von TLS-Serverzertifikaten unter dem Trust-Anchor der eigenen PKI gehen.
Ich suchte nach einer Möglichkeit, in meinem vom Internet getrennten lokalen Labornetz automatisch Zertifikate für Server zu erstellen und auszurollen. Bisher benutzte ich zur Herstellung von HTTPS-Verbindungen für meine diversen Server ein Wildcard-Zertifikat für das jeweilige Netz bzw. die jeweilige Domäne und ließ die Terminierung Traefik besorgen. Damit hatte ich beim Hinzufügen neuer Services nur minimalen Aufwand. Aber erstens sind Wildcard-Zertifikate inzwischen nicht mehr gern gesehen und außerdem gibt es ja seit einiger Zeit einen anderen Ansatz: ACME.
Eigentlich wollte ich die Woche Osterferien nutzen, diese RFC selbst zu implementieren - aber wie immer und bei allem, was auch nur entfernt mit Crypto zu tun hat sollte man vorher nachsehen, ob es nicht vielleicht etwas Fertiges, Erprobtes gibt, das man nachnutzen kann. Ich stieß bei meinen diesbezüglichen Recherchen auf Step-CA, eine Lösung, die man in einem Docker-Container erhält. Mein angepasstes docker-compose.yml sieht dabei wie folgt aus:
version: "2.1"
services:
pairdrop:
image: smallstep/step-ca
container_name: letsencrypt
environment:
- PUID=1000
- PGID=1000
- TZ=Etc/UTC
ports:
- 9099:9000
restart: unless-stopped
volumes:
- ./step:/home/step
environment:
- DOCKER_STEPCA_INIT_NAME=Smallstep
- DOCKER_STEPCA_INIT_DNS_NAMES=localhost,dockerhost.docker.lab,letsencrypt.docker.lab
- DOCKER_STEPCA_INIT_REMOTE_MANAGEMENT=true
Damit lässt sich eine ACME-CA einrichten und betreiben, die allerdings nur Self-Signed Zertifikate ausstellt. Meine Aufgabe war also, herauszufinden wie man eigenes Cryptomaterial in die CA einbringen kann: ich habe bereits eine PKI in meinem Heimnetz und wollte den etablierten Vertrauensanker weiternutzen und nicht gezwungen sein, zwei PKIs parallel zu pflegen und zu betreiben - vor allem, da das das MAnagement der Vertrauensstellungen unnötig verkompliziert hätte.
Nachdem die Step-CA gestartet wurde muss man zunächst erst einmal einen ACME-Provisioner hinzufügen. Ich startete dafür einfach eine Shell im Container und erledigte die benötigten Arbeitsschritte dort. Man kann prinzipiell wie im verlinkten Artikel die JSON-Datei von Hand bearbeiten, ich empfehle jedoch dringend die zur Verfügung gestellten Werkzeuge zu benutzen. Im Prinzip kocht damit alles auf den einzelnen Befehl
step ca provisioner add acme --type ACME
zusammen. Anschließend kann man zunächst versuchen, auf den Link https://dockerhost.docker.lab:9099/acme/acme/directory zuzugreifen - man muss dabei noch dem Root-Zertifikat des Containers vertrauen, das eigene Cryptomaterial folgt im nächsten Schritt. Bereits jetzt kann man - zum Beispiel mittels certbot einen Server mit einem Zertifikat versorgen. Für nginx benutzte ich diesen Befehl:
REQUESTS_CA_BUNDLE=roots.pem certbot --nginx -d acmenginx --server https://dockerhost.docker.lab:9099/acme/acme/directory
Der Inhalt von roots.pem wird vorher mittels eines
wget --no-check-certificate https://dockerhost.docker.lab:9099/roots.pem
geholt: Wir haben nach wie vor nur die automatisch generierte PKI im Container, der wir erstmal nicht vertrauen... Anschließend ist HTTPS im nginx aktiviert und man kann damit darauf zugreifen, wird aber aus demselben Grund noch mit einer Warnung konfrontiert.
Alles, was jetzt noch getan werden muss, kann man auch bequem auf dem Docker-Server tun, da alle Dateien, die für die Benutzung eigenen Crypto-Materials geändert werden müssen komfortabel in einem Volume - dem Verzeichnis step neben docker-compose.yml - nach außen geführt wurden.
Dafür kann man der Anleitung hier folgen. Hinzufügen möchte ich nur, dass die Datei step/certs/intermediate_ca.crt von mir nicht nur mit dem Zertifikat befüllt wurde, sondern mit der kompletten Kette. Das sorgt dafür, dass die ausgestellten Serverzertifikate ebenfalls die komplette Kette enthalten, was die Analyse eventueller Trust-Probleme erheblich vereinfachen kann.
Et voila: ein ACME-Server zur automatisierten Verteilung von TLS-Serverzertifikaten unter der eigenen PKI!
Fährnisse des Buildprozesses unter Windows
17.07.2019
Nachdem ich begonnen hatte, mich mit der Beschleunigung der Berechnung des Mandelbrot-Fraktals unter Zuhilfenahme der Shadereinheiten in Graphikkarten zu beschäftigen und erste Erfolge feiern konnte, wollte ich das mal auf einer richtigen Graphikkarte ausprobieren...
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Git(lab|hub) Go GUI Gui Hardware Java Jupyter Komponenten Links Linux Markdown Markup Music Numerik PKI-X.509-CA Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Ich bin heute nochmal inspiriert worden, weiter über die Trojan Source Vulnerability nachzudenken. Meiner Meinung nach bestehen hier noch Probleme - speziell bei Nutzereingaben oder Daten, die über externe Schnittstellen ampfangen werden.
Weiterlesen...Ich habe die auf OpenStreetMap basierende OpenSource Navigationslösung Graphhopper in einen Docker-Container gepackt und als neuestes Mitglied in meinem Docker-Zoo willkommen geheißen.
Weiterlesen...Ich habe neulich über eine Möglichkeit berichtet, SQLite mittels der sQLshell und Beanshell-Skripten um SQL-Funktionen zu erweitern. In diesem Artikel versprach ich auch, über eine solche Möglichkeit für Aggregatfunktionen zu berichten.
Weiterlesen...Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.