3.5. SSL-Zertifikatsverwaltung#
Unter UCS werden sensitive Daten immer verschlüsselt über das Netzwerk übertragen, zum Beispiel durch die Verwendung von SSH für den Login auf Systeme oder durch Verwendung von Protokollen auf Basis von SSL/TLS. (Transport Layer Security (TLS) ist der aktuelle Protokollname, der Name des Vorgängerprotokolls Secure Socket Layer (SSL) ist jedoch weiterhin gebräuchlicher und wird auch in dieser Dokumentation verwendet).
SSL/TLS kommt beispielsweise bei der Listener/Notifier-Domänenreplikation oder beim HTTPS-Zugriff auf UCS Web-Oberflächen zum Einsatz.
Für eine verschlüsselte Kommunikation zwischen zwei Rechnern müssen beide Kommunikationspartner die Authentizität des verwendeten Schlüssels prüfen können. Dafür besitzt jeder Rechner ein so genanntes Rechnerzertifikat, das von einer Zertifizierungsstelle (Certification Authority, CA) herausgegeben und signiert wird.
UCS bringt seine eigene CA mit, die bei der Installation des Primary Directory Node automatisch eingerichtet wird und von der jedes UCS-System im Rahmen des Domänenbeitritts automatisch ein Zertifikat für sich selbst und das öffentliche Zertifikat der CA bezieht. Diese CA tritt als Root-CA auf, signiert ihr eigenes Zertifikat, und kann Zertifikate für andere Zertifizierungsstellen signieren.
Die Eigenschaften der CA werden bei der Installation basierend auf Systemeinstellungen wie der Locale automatisch festgelegt. Diese Einstellungen können auf dem Primary Directory Node im UMC-Modul Zertifikats-Einstellungen nachträglich angepasst werden.
Vorsicht
Besteht die UCS-Domäne aus mehr als einem System, müssen durch die Änderung des Root-Zertifikats auch alle anderen Rechner-Zertifikate neu ausgestellt werden! Das dafür nötige Vorgehen ist in KB 37 - Renewing the SSL certificates dokumentiert.
Die UCS-CA befindet sich immer auf dem Primary Directory Node. Auf jedem Backup Directory Node wird eine Kopie der CA vorgehalten, die über einen Cronjob standardmäßig alle 20 Minuten mit der CA auf dem Primary Directory Node synchronisiert wird.
Vorsicht
Die CA wird nur vom Primary Directory Node zum Backup Directory Node synchronisiert und nicht umgekehrt. Es sollte also ausschließlich die CA auf dem Primary Directory Node verwendet werden.
Wird ein Backup Directory Node zum Primary Directory Node hochgestuft (siehe Umwandlung eines Backup Directory Node zum neuen Primary Directory Node), so kann die CA auf dem dann neuen Primary Directory Node direkt verwendet werden.
Das UCS-Root-Zertifikat hat - ebenso wie die damit erstellten Rechnerzertifikate - einen bestimmten Gültigkeitszeitraum.
Vorsicht
Ist dieser Zeitraum abgelaufen, funktionieren Dienste, die ihre Kommunikation mit SSL verschlüsseln (z.B. LDAP oder die Domänenreplikation) nicht mehr.
Es ist deshalb notwendig, die Gültigkeit der Zertifikate regelmäßig zu überprüfen und rechtzeitig das Root-Zertifikat zu erneuern. Für die Überwachung des Gültigkeitszeitraums wird ein Nagios-Plugin bereitgestellt. Außerdem erfolgt beim Öffnen eines UMC-Moduls eine Warnmeldung, wenn das Root-Zertifikat bald abläuft (der Warnzeitraum kann mit der Univention Configuration Registry Variable ssl/validity/warning festgelegt werden und beträgt standardmäßig 30 Tage).
Die Erneuerung des Root-Zertifikats und der übrigen Rechnerzertifikate ist in KB 37 - Renewing the SSL certificates dokumentiert.
Auf UCS-Systemen überprüft ein Cronjob täglich die Gültigkeit des lokalen Rechnerzertifikats und des Root-Zertifikats und schreibt das Ablaufdatum in die Univention Configuration Registry-Variablen ssl/validity/host (Rechnerzertifikat) und ssl/validity/root (Root-Zertifikat). Die dort angegebenen Werte spiegeln die Anzahl der Tage seit dem 1.1.1970 wieder.
In Univention Management Console wird das effektive Ablaufdatum des Rechner- und Root-Zertifikats angezeigt über über das rechte, obere Benutzermenü und den Menüpunkt .