Universität Heidelberg
Universitätsrechenzentrum Heidelberg Logo

Anleitung Gruppenfunktionen in CertMine

Inhalt

Gruppenfunktionen in CertMine

Gruppen dienen in CertMine dazu, Zertifikate und deren Verwaltung zu vereinfachen. Mit Gruppen können Sie:

  • Zertifikate gemeinsam verwalten
  • Zertifikate z.B. bei Personalwechsel einfach übergeben
  • Zertifikate automatisch bewilligen lassen
  • Info-Mails zu Zertifikaten an eine Gruppen-Adresse erhalten
  • Die Zertifikatsausgabe via ACME automatisieren

Ihr AD-Account hat eine Basisgruppe, die sich aus dessen OU im AD ableitet. Jeder Basisgruppe sind entsprechende Autoapprover-Domains zugeordnet. Für diese und die darunterliegenden Domains können Zertifikate ohne menschliche Bewilligung durch das URZ direkt ausgestellt werden. Alle Untergruppen erben die Domains der zugehörigen Basisgruppe.

 

Gruppen erstellen

In der Gruppenverwaltung sind folgende Schritte durchzuführen, um eine Untergruppe einer bestehenden Gruppe zu erstellen:

  1. In der Sektion „Untergruppe erstellen“ die Elterngruppe wählen
  2. Den Gruppenname angeben. Dieser darf aus Buchstaben, Zahlen sowie dem Bindestrich bestehen.
  3. Optional kann eine E-Mail-Adresse der Gruppe angegeben werden, an die alle Mails zu den Zertifikaten der Gruppe zusätzlich zum Anfragenden gesendet werden.
  4. Mit Klick auf „Gruppe erstellen“ wird die Gruppe direkt angelegt.

Der gesamte Name einer neuen Untergruppe setzt sich aus dem Namen der Elterngruppe ergänzt um „.“ und den Namen der Untergruppe zusammen. Wenn also die Elterngruppe „test.it“ ist und der Gruppenname „loadbalancer“ ergibt sich "test.it.loadbalancer" als gesamter Gruppenname.

CertMine: Untergruppe erstellen

Aktive Gruppe wechseln und Gruppenseite öffnen

Die jeweils aktive Gruppe bestimmt, welche Zertifikate sichtbar sind und für welche Gruppe neue Zertifikate beantragt werden.

  1. Im Menü auf den eigenen Account klicken
  2. Dann die Gruppe aus der Liste auswählen und anklicken
CertMine: Eine Gruppe aktivieren

Eine Gruppe verwalten

Öffnen Sie die Gruppenseite einer Gruppe wie oben beschrieben.

  1. Im ersten Feld können Sie den Gruppenname anpassen.
  2. Im zweiten Feld können Sie die E-mail der Gruppe anpassen.
  3. Unter „Benutzer“ können Sie auswählen, welche Accounts aus der entsprechenden Basisgruppe Mitglieder dieser Gruppe sein sollen.
  4. Nachdem Sie alle nötigen Anpassungen durchgeführt haben, klicken Sie bitte auf „Gruppe anpassen“.

Anpassungen an Basisgruppen sind nicht möglich.

CertMine: Gruppen anpassen

Automatische Bewilligung

Auf der Gruppenseite sehen Sie rechts unter „Autoapprover“ die Domain-Suffixe, die automatisch bewilligt werden können, ohne dass unser Team sie begutachten muss. Wildcard-Zertifikate bedürfen jedoch immer einer Bewilligung.

Automatische Zertifikatsausgabe mit ACME

ACME ist das Akronym für Automatic Certificate Management Environment, ein Protokoll zum automatischen Verwalten von Serverzertifikaten. CertMine bietet ACME als Schnittstelle an, um lokale Server stets mit aktuellen Zertifikaten zu versehen. Alle Zertifikate, die in Ihrer Gruppe automatisch bewilligt werden können, können auch per ACME bezogen werden. Demnach können keine Wildcard-Zertifikate per ACME beantragt werden.

Um die Zuordnung von ACME-Accounts und CertMine-Gruppe zu gewährleisten, setzen wir External Account Binding (EAB) ein. Hierbei wird in CertMine für eine Gruppe ein ACME-Account erstellt, womit dann alle über diesen Account beantragten Zertifikate der jeweiligen CertMine-Gruppe zugeordnet werden und wie gewohnt verwaltet werden können.

ACME Account erstellen

Auf der jeweiligen Gruppenseite klicken Sie bitte auf der rechten Seite den Button „Neuen Account anlegen“ (s.o.), um einen Key zu erstellen.

Hinweis: Achten Sie darauf, dass der gesamte Vorgang vertraulich bleibt, er also auf einem sicheren Gerät durchgeführt wird und weder Unberechtigte anwesend noch KI-Werkzeuge wie z.B. Copilot Vision oder Recall aktiv sind.

  1. Bitte speichern Sie die Key ID (KID) und HMAC-Key unverzüglich verschlüsselt in z.B. einem sicheren Passwort-Safe oder einem Ansible-Vault ab.
  2. Geben Sie eine optionale Notiz zu diesem Account an, die z.B. den Einsatz des Accounts beschreibt.
  3. Lesen Sie sich die Hinweise aufmerksam durch und klicken Sie anschließend das Feld rechts neben "Hinweise bestätigen".
  4. Aktivieren Sie den Account durch Klick auf "Account aktivieren".

Im Anschluss ist der Account direkt einsatzbereit und es können darüber Zertifikate beantragt werden.

CertMine: ACME-Account anlegen

Domains zu ACME-Account hinzufügen

  1. Geben Sie die für diesen ACME-Account gültigen Domainnamen an. Im ersten Eingabefeld kann das Präfix neben Buchstaben, Zahlen, dem Punkt (".") sowie dem Bindestrich ("-") auch ein Mal den Stern ("*") als Platzhalter für beliebige gültige Zeichen enthalten.
  2. Wählen Sie das Suffix der gültigen Domainnamen aus der Liste im rechten Eingabefeld aus.
  3. Klicken Sie „Domain hinzufügen“ woraufhin die Domain von nun an in der Übersicht auf dieser Seite angezeigt wird.

Mit dem Eintrag der ersten Domain ist der Account einsatzbereit und es können darüber Zertifikate beantragt werden.

CertMine: Domais hinzufügen

Zertifikat per ACME beantragen

Das genaue Vorgehen bei der Beantragung von Server-Zertifikaten via ACME ist stark abhängig vom eingesetzten Betriebssystem, der Serversoftware sowie ihren Management-Werkzeugen. Wir empfehlen Ihnen die Dokumentation des Herstellers heranzuziehen. Zur Verifikation des Servers führt ACME eine http-Challenge durch, wobei ein Challenge-Token auf dem Server per http bereitgestellt wird, welches CertMine im Rahmen von ACME ausliest.

Damit ergeben sich folgende Vorbedingungen:

  • Der ACME-Client muss sich im Netz der Universität befinden und auf CertMine zugreifen können.
  • Der ACME-Client muss durch CertMine auf Port 80 erreichbar sein und dort das Challenge-Token bereitstellen können.

Folgender generelle Ablauf ist bei der Einrichtung nötig:

  1. Vergewissern Sie sich, dass die Vorbedingungen erfüllt sind.
  2. Installieren Sie auf Ihrem System einen ACME-Client wie z.B. certbot.
  3. Geben Sie die Adresse des ACME-Servers an:

    https://certmine.urz.uni-heidelberg.de/acme/


    Mit Certbot geschieht dies mit der Kommandozeilenoption:
    --server=

    https://certmine.urz.uni-heidelberg.de/acme/

  4. Geben Sie die KID und den HMAC-Key in die Konfiguration ein.
    Bei certbot geschieht dies mit den Kommandozeilenoptionen:
    --eab-kid=<KID des Accounts> und --eab-hmac-key=<HMAC-Key des Accounts>.
  5. Führen Sie Ihren ACME-Client nun wie gewohnt aus und richten diesen als Cronjob ein.

ACME ohne http-Challenge

Falls Sie ACME für ein System einrichten möchten, welches nicht von CertMine aus erreichbar ist, legen Sie bitte dennoch einen entsprechenden ACME-Account an. Fragen Sie anschließend unter dem Link auf der rechten Seite an, die http-Challenge zu deaktivieren.

Wir geben hierbei nur ACME-Accounts frei, die genau auf einen Domainnamen limitiert sind und damit kein "*" enthalten.

Bitte beachten Sie, dass das Deaktivieren der Challenge ein erhebliches Sicherheitsrisiko darstellt, da nun jedes System mit Zugriff auf KID und HMAC-Key ohne weitere Prüfung ein Zertifikat beantragen kann. Deshalb erlauben wir dies nur in begründeten Ausnahmefällen. Falls es technisch möglich ist, ist meist sinnvoller die Verbindungen von CertMine (129.206.6.176) und CertMine-Dev (129.206.4.74 zum Testen) auf dem Port 80 freizuschalten.

English

IT-Sicherheit