{"id":963,"date":"2017-03-16T21:03:05","date_gmt":"2017-03-16T20:03:05","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=963"},"modified":"2017-03-16T21:38:40","modified_gmt":"2017-03-16T20:38:40","slug":"lets-encrypt-csr","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/lets-encrypt-csr\/","title":{"rendered":"Let’s Encrypt Zertifikate erneuern, ohne HPKP, TLSA\/DANE zu beeintr\u00e4chtigen"},"content":{"rendered":"

Will man Let’s Encrypt<\/a> mit Verfahren wie HTTP Public Key Pinning (HPKP)<\/a> oder DNS-Based Authentication of Named Entities (DANE)<\/a> nutzen, so stellt sich das Problem der sehr kurzlebigen Zertifikate bzw. Schl\u00fcssel-Paare bei Verwendung des Erneuerungs-Automatismus der Let’s Encrypt CertBots<\/a>.<\/p>\n

Der Wechsel des RSA-Schl\u00fcsselpaares bedingt ein sehr umsichtiges Vorgehen bei der Nutzung von HPKP<\/a> und DANE<\/a>. Es w\u00fcrde sich daher anbieten, eine L\u00f6sung zu verwenden, bei der das RSA-Schl\u00fcsselpaar nicht bei jeder Zertifikats-Erneuerung neu generiert sondern beibehalten wird.<\/p>\n

Vorgangsweise<\/h2>\n
    \n
  1. Existiert bereits ein Zertifikat? Dann existiert auch der Private-Key hierzu bereits – Vorbereitung somit schon erf\u00fcllt. Falls noch kein Private-Key vorhanden ist, einen solchen generieren:\n
    openssl genrsa -out myDomain_privkey.pem 4096<\/span><\/pre>\n<\/li>\n
  2. Ein Konfigurationsfile f\u00fcr die Erstellung des Certificate Signing Request (CSR) erstellen:\n
    vi myDomain.req.conf<\/span><\/pre>\n
    [req]<\/span>\r\ndistinguished_name = req_distinguished_name<\/span>\r\nreq_extensions = v3_req<\/span>\r\nprompt = no<\/span>\r\n\r\n[req_distinguished_name]<\/span>\r\nCN = it-security.eu.org<\/span>\r\n\r\n[v3_req]<\/span>\r\nkeyUsage = keyEncipherment, dataEncipherment<\/span>\r\nextendedKeyUsage = serverAuth<\/span>\r\nsubjectAltName = @alt_names<\/span>\r\n\r\n[alt_names]<\/span>\r\nDNS.1 = it-security.eu.org<\/span>\r\nDNS.2 = www.it-security.eu.org<\/span>\r\nDNS.3 = demo.it-security.eu.org<\/span>\r\n<\/pre>\n
    Anzupassen an die eigenen Domains ist der Common-Name (CN) sowie die Subject-Alternative-Names (alt_names).<\/li>\n
  3. Einen Certificate Signing Request (CSR) erstellen:\n
    openssl req -new -config myDomain.req.conf -key myDomain_privkey.pem -out myDomain.csr<\/span><\/pre>\n<\/li>\n
  4. Den erstellen Certificate Signing Request (CSR) begutachten (optional):\n
    openssl req -in myDomain.csr -text -noout<\/span><\/pre>\n<\/li>\n
  5. Mittels Let’s Encrypt CertBot<\/a> ein neues Zertifikat – basierend auf dem bestehenden CSR und somit dem bestehenden RSA-Key – anfordern:\n
    letsencrypt certonly --apache --csr myDomain.csr -d it-security.eu.org -d www.it-security.eu.org -d demo.it-security.eu.org<\/span><\/pre>\n<\/li>\n<\/ol>\n
    Hinweise:<\/h2>\n