3.3. Zertifikatsverwaltung

Nubus für UCS verschlüsselt vertrauliche Daten bei der Übertragung immer. Beispielsweise verwendet es SSH für die Anmeldung an Systemen und TLS für die Domänenreplikation und LDAP-Kommunikation.

Jeder Computer muss die Identität des anderen überprüfen, bevor verschlüsselte Daten ausgetauscht werden. Dazu hat jeder Computer ein Rechnerzertifikat, das eine Zertifizierungsstelle (CA) ausstellt und signiert.

Dieser Abschnitt beschreibt die integrierte UCS Zertifizierungsstelle, die die Vertrauensstellung innerhalb der Nubus für UCS-Domäne verwaltet. Für öffentlich vertrauenswürdige Zertifikate für webbasierte Dienste wie Apache, siehe Let’s Encrypt.

3.3.1. Integrierte UCS Zertifizierungsstelle

Nubus für UCS erstellt automatisch eine eigene Zertifizierungsstelle, wenn Sie den Primary Directory Node installieren. Wenn ein Nubus für UCS System der Domäne beitritt, fordert es automatisch sein eigenes Rechnerzertifikat an und ruft das öffentliche Zertifikat der Zertifizierungsstelle ab. Die Zertifizierungsstelle fungiert als Root CA: sie signiert ihr eigenes Zertifikat und kann Zertifikate für untergeordnete Zertifizierungsstellen signieren.

Die UCS-CA sichert die Kommunikation innerhalb der Nubus für UCS-Domäne, nicht öffentlich zugängliche Webdienste.

Nubus für UCS generiert die Eigenschaften der Zertifizierungsstelle automatisch während der Installation basierend auf Systemeinstellungen wie dem Gebietsschema. Um diese Einstellungen nach der Installation zu ändern, öffnen Sie das Modul Zertifikateinstellungen in der Management UI auf dem Primary Directory Node.

Vorsicht

Wenn Sie das Root-Zertifikat über das Modul Zertifikateinstellungen ändern, müssen Sie alle Rechnerzertifikate neu ausstellen. Siehe KB 37 - Renewing the SSL/TLS certificates.

Die Zertifizierungsstelle in Nubus für UCS befindet sich auf dem Primary Directory Node. Jeder Backup Directory Node speichert eine Kopie der Zertifizierungsstelle. Ein Cron-Job aktualisiert jede Kopie vom Primary Directory Node alle 20 Minuten.

Wichtig

Zertifizierungsstelle-Updates werden nur vom Primary Directory Node zum Backup Directory Node übertragen, nicht in die andere Richtung. Verwenden Sie immer die Zertifizierungsstelle auf dem Primary Directory Node.

Wenn Sie einen Backup Directory Node zum Primary Directory Node befördern, können Sie sofort die Zertifizierungsstelle auf dem neuen Primary Directory Node nutzen. Weitere Informationen zur Beförderung finden Sie unter Umwandlung von Backup zu Primary.

Siehe auch

Modus: Neue UCS-Domäne erstellen

für Informationen zur Installation eines Primary Directory Node

Modus: Einer bestehenden UCS-Domäne beitreten

für Informationen über Nubus für UCS, das einer Domäne beitritt.

3.3.2. Gültigkeit von Zertifikaten

Das Root-Zertifikat von Nubus für UCS und alle von ihm ausgestellten Rechnerzertifikate verfallen nach einem festgelegten Zeitraum. Um das Root-Zertifikat und alle Rechnerzertifikate zu erneuern, siehe KB 37 - Renewing the SSL/TLS certificates.

Vorsicht

Wenn ein Zertifikat abläuft, funktionieren Dienste, die TLS-verschlüsselte Kommunikation verwenden, wie LDAP oder Domänenreplikation, nicht mehr.

3.3.3. Überwachen Sie die Gültigkeit von Zertifikaten

Nubus für UCS überwacht die Gültigkeit von Zertifikaten automatisch. Das Nagios-Plugin überwacht den Gültigkeitszeitraum und die Management UI zeigt eine Warnung an, wenn das Root-Zertifikat bald abläuft. Sie können den Warnzeitraum mit der UCR variable ssl/validity/warning konfigurieren. Der Standardwarnzeitraum beträgt 30 Tage. Sie müssen das Root-Zertifikat erneuern, bevor das Root-Zertifikat abläuft.

Jeden Tag überprüft ein separater Cron-Job auf Nubus für UCS Systemen die Gültigkeit des Rechnerzertifikats und des Root-Zertifikats. Der Cron-Job speichert die Ablaufdaten in den folgenden UCR-Variablen. Diese Werte sind die Anzahl der Tage seit 1970-01-01.

Rechnerzertifikat:

ssl/validity/host

Root-Zertifikat:

ssl/validity/root

So laden Sie das Root-Zertifikat und die Widerrufsliste für Zertifikate in der Management UI herunter:

1. Öffnen Sie das Hamburger-Menü.

2. Wählen Sie für das Root-Zertifikat Zertifikate ‣ Root-Zertifikat aus.

3. Wählen Sie für die Widerrufsliste Zertifikate ‣ Zertifikatwiderrufsliste aus.