Osterprojekt 2023: ACME

vorhergehende Artikel in: PKI-X.509-CA Linux
04.06.2023

Das Osterprojekt dieses Jahr sollte sich mit EMail-Servern, Nameservern, DNSSEC und ACME (LetsEncrypt) beschäftigen- in Teil 1 berichtete ich über die Einrichtung eines authoritative DNS server für die diversen Server in meinem Docker-Zoo. Heute soll es um die Einrichtung eines lokalen ACME Servers für die automatisierte Verteilung von TLS-Serverzertifikaten unter dem Trust-Anchor der eigenen PKI gehen.

Ich suchte nach einer Möglichkeit, in meinem vom Internet getrennten lokalen Labornetz automatisch Zertifikate für Server zu erstellen und auszurollen. Bisher benutzte ich zur Herstellung von HTTPS-Verbindungen für meine diversen Server ein Wildcard-Zertifikat für das jeweilige Netz bzw. die jeweilige Domäne und ließ die Terminierung Traefik besorgen. Damit hatte ich beim Hinzufügen neuer Services nur minimalen Aufwand. Aber erstens sind Wildcard-Zertifikate inzwischen nicht mehr gern gesehen und außerdem gibt es ja seit einiger Zeit einen anderen Ansatz: ACME.

Eigentlich wollte ich die Woche Osterferien nutzen, diese RFC selbst zu implementieren - aber wie immer und bei allem, was auch nur entfernt mit Crypto zu tun hat sollte man vorher nachsehen, ob es nicht vielleicht etwas Fertiges, Erprobtes gibt, das man nachnutzen kann. Ich stieß bei meinen diesbezüglichen Recherchen auf Step-CA, eine Lösung, die man in einem Docker-Container erhält. Mein angepasstes docker-compose.yml sieht dabei wie folgt aus:

version: "2.1"
services:
  pairdrop:
    image: smallstep/step-ca
    container_name: letsencrypt
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
    ports:
      - 9099:9000
    restart: unless-stopped
    volumes:
      - ./step:/home/step
    environment:
      - DOCKER_STEPCA_INIT_NAME=Smallstep
      - DOCKER_STEPCA_INIT_DNS_NAMES=localhost,dockerhost.docker.lab,letsencrypt.docker.lab
      - DOCKER_STEPCA_INIT_REMOTE_MANAGEMENT=true

Damit lässt sich eine ACME-CA einrichten und betreiben, die allerdings nur Self-Signed Zertifikate ausstellt. Meine Aufgabe war also, herauszufinden wie man eigenes Cryptomaterial in die CA einbringen kann: ich habe bereits eine PKI in meinem Heimnetz und wollte den etablierten Vertrauensanker weiternutzen und nicht gezwungen sein, zwei PKIs parallel zu pflegen und zu betreiben - vor allem, da das das MAnagement der Vertrauensstellungen unnötig verkompliziert hätte.

Nachdem die Step-CA gestartet wurde muss man zunächst erst einmal einen ACME-Provisioner hinzufügen. Ich startete dafür einfach eine Shell im Container und erledigte die benötigten Arbeitsschritte dort. Man kann prinzipiell wie im verlinkten Artikel die JSON-Datei von Hand bearbeiten, ich empfehle jedoch dringend die zur Verfügung gestellten Werkzeuge zu benutzen. Im Prinzip kocht damit alles auf den einzelnen Befehl

step ca provisioner add acme --type ACME

zusammen. Anschließend kann man zunächst versuchen, auf den Link https://dockerhost.docker.lab:9099/acme/acme/directory zuzugreifen - man muss dabei noch dem Root-Zertifikat des Containers vertrauen, das eigene Cryptomaterial folgt im nächsten Schritt. Bereits jetzt kann man - zum Beispiel mittels certbot einen Server mit einem Zertifikat versorgen. Für nginx benutzte ich diesen Befehl:

REQUESTS_CA_BUNDLE=roots.pem certbot --nginx -d acmenginx --server https://dockerhost.docker.lab:9099/acme/acme/directory

Der Inhalt von roots.pem wird vorher mittels eines

wget --no-check-certificate https://dockerhost.docker.lab:9099/roots.pem

geholt: Wir haben nach wie vor nur die automatisch generierte PKI im Container, der wir erstmal nicht vertrauen... Anschließend ist HTTPS im nginx aktiviert und man kann damit darauf zugreifen, wird aber aus demselben Grund noch mit einer Warnung konfrontiert.

Alles, was jetzt noch getan werden muss, kann man auch bequem auf dem Docker-Server tun, da alle Dateien, die für die Benutzung eigenen Crypto-Materials geändert werden müssen komfortabel in einem Volume - dem Verzeichnis step neben docker-compose.yml - nach außen geführt wurden.

Dafür kann man der Anleitung hier folgen. Hinzufügen möchte ich nur, dass die Datei step/certs/intermediate_ca.crt von mir nicht nur mit dem Zertifikat befüllt wurde, sondern mit der kompletten Kette. Das sorgt dafür, dass die ausgestellten Serverzertifikate ebenfalls die komplette Kette enthalten, was die Analyse eventueller Trust-Probleme erheblich vereinfachen kann.

Et voila: ein ACME-Server zur automatisierten Verteilung von TLS-Serverzertifikaten unter der eigenen PKI!

Artikel, die hierher verlinken

Draw.IO im Docker-Zoo

12.11.2023

Ein neues Projekt ist in meinen Docker-Zoo eingezogen

FreePad im Docker-Zoo

28.10.2023

Ein neues Projekt ist in meinen Docker-Zoo eingezogen

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Mandelbrot-Sets mittels Shadern berechnen

    17.05.2019

    Nachdem ich in den letzten verregneten Tagen auf Youtube in den Videos von Numberphile versunken bin, hat mich eines davon angestachelt, mich selbst mit dem Mandelbrotset zu beschäftigen. Als ich dann noch Code fand, der behauptete, das auf einer Graphikkarte mittels Shadern berechnen zu können, war es um mich geschehen...

    Weiterlesen...

Neueste Artikel

  • Erste Vor-Version eines Gis-Plugin für die sQLshell

    Wie bereits in einem früheren Artikel erwähnt plane ich, demnächst ein Plugin für die sQLshell anzubieten, das eine Visualisierung von Daten mit räumlichem Bezug im Stil eines Geoinformationssystems erlaubt.

    Weiterlesen...
  • bad-certificates Version 2.1.0

    Das bereits vorgestellte Projekt zur automatisierten Erzeugung von Zertifikaten mit allen möglichen Fehlern hat eine Erweiterung erfahren und verfügt über ein Partnerprojekt - beide sind nunmehr in der Version 2.1.0 freigegeben

    Weiterlesen...
  • SQLite als Geodatenbank

    Wie bereits in einem früheren Artikel beschrieben treibe ich derzeit Anstrengungen voran, die sQLshell attraktiver für Nutzer zu machen, die mit Geodatenbanken arbeiten.

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.