Schlagwort-Archive: Linux

Alles zum Thema Linux

Requesting certificates with certbot-auto and configuring the apache webserver

Mit dem Script certbot-auto kann man ganz leicht neue Zertifikate beantragen und auch im Apache Webserver konfigurieren.

Übersicht der aktuell konfigurierten Zertifikate erhält man mit dem Befehl „certbot-auto certificates“.

Es empfiehlt sich übrigens den Schalter „--no-self-upgrade“ zu benutzen, um zu verhindern, dass sich das Script selbstständig aktualisiert. Besser ist es, die Aktualisierung in einer Testumgebung vorzunehmen um den produktiven Betrieb nicht zu gefährden.

Jetzt führen wir kurz den Befehl zum Beantragen eines Zertifikates aus:

Jetzt noch das Zertifikat im Apache konfigurieren. In der Apache VHOST-Datei folgende Werte einfügen:

 

LetsEncrypt server certificates setup for Apache Webserver on Debian

Dieser Beitrag soll zeigen, wie mit wenig Aufwand Zertifikate des Dienstes Let’s Encrypt unter Debian installiert werden können. Dazu muss natürlich selbst die Software noch installiert werden. Außerdem möchte ich auch noch die Benutzung und Konfiguration der Zertifikate im Apache Webserver zeigen. In einem weiteren Artikel werde ich auch noch die SSL-Konfiguration des Apache Webservers zeigen. Die Verlinkung dazu erfolgt dann später noch.

Installation von LetsEncrypt und CertBot

Erstmal clonen wir die Software aus dem GIT-Repo von Let’s Encrypt:

Hier das Listing  aus /opt/letsencrypt:

certbot-auto Script testen und aufrufen

Beim Erstaufruf des certbot-auto Scripts werden die Softwarevoraussetzungen geprüft und vom Script selbst werden div. Pakete nachinstalliert. Am besten benutzt man dafür den Befehl „certbot-auto certificates“

Im folgenden Artikel wird der genaue Beantragungsprozeß und die Installation im Apache-Server beschrieben.

 

 

Es gibt keine öffentlichen Schlüssel für die folgenden Schlüssel-IDs

Gestern habe ich in meiner Ubuntu-Installation folgenden Fehler bekommen:

Auf der Kommandozeile dann folgenden Befehl eingeben:

Danach wurde der Schlüssel aktualisiert und nun funktioniert wieder alles bestens.

Using ArgBash to generate the Call Parameters for Bash-Scripts

Gerade jetzt im aktuellen Linux-Magazin habe ich folgenden Artikel entdeckt: Werkzeuge im Kurztest Tooltipps — Argbash.

Das Tool ArgBash gefällt mir persönlich sehr gut. Und so nutzte ich die Gelegenheit um das Tool gleich einmal zu testen.

Ein guter Start ist das Quickstart Tutorial auf der Dokumentationsseite des Projektes. Ich habe nun als erstes mir das GIT-Repo ausgecheckt.

Ein kurzer Check mit dem Beispiel von der Quickstart Sektion zeigt, dass das Script prima funktioniert:

Damit wird ein kleines Script generiert, welches nur das parsen der o.g. Parameter übernimmt. Natürlich muss dann das Script noch mit Leben gefüllt werden.

Interessanter dürfe dann aber der Abschnitt sein, wo der Parsing-Code in ein extra Script ausgelagert wird. Das muss ich aber noch mal testen:

http://argbash.readthedocs.io/en/latest/example.html#separating-the-parsing-code

Debian 8.0 – Jessie – PHP 7.0 installieren

Motiviert durch den Artikel auf schroeffu.ch: Debian 8 ‚Jessie‘: PHP7 neben PHP5 installieren habe ich auf meiner VM ebenfalls mal PHP 7.0 installiert.

Angelehnt, an die im o.g. Blog genannten Schritte habe ich folgendes gemacht:

Die php.ini für PHP7.0 musste ich nicht anpassen, da ich meine Anpassungen für den Apache in der zugehörigen VHOST.ini vornehme.

PHP 7.0 aktivieren im Apache:

Wie im Blog oben beschrieben, bitte zwingend immer ein PHP-Modul im Apache aktivieren, da sonst der PHP-Quellcode an den Browser ausgeliefert wird!!

Bei mir im Nextcloud musste ich noch folgende PHP-Pakete nachinstallieren, da ich sonst ziemlich seltsame Fehler bekam:

Die folgende PHP Pakete waren noch notwendig:

 

Managing OwnCloud and NextCloud User Quota with my LDAP Server

Es hat mich schon immer gestört, dass ich mit meinem LDAP-Server zwar die User verwalten kann, aber z.B. die UserQuota für meinen OwnCloud-Server immer noch per Hand in selbigem eintragen muss. Warum eigentlich? Nach etwas Suchen im Internet fand ich das GIT-Repository OwnCloud LDAP Schema von Valery Tschopp. Zuerst war mir nicht klar, ob ich das Schema überhaupt für meine aktuelle NextCloud Installation nutzen könnte, da das Schema für den Owncloud 6.0 Server geschrieben wurde? Zumindest ist die Doku für den 6er Server verlinkt. Nun gut, es funktioniert auch mit dem NextCloud 9.0.53 Server.

Zuerst clonen wir das GIT-Repo:

Ich benutze für meinen LDAP-Server das cn=config Backend. Dafür muss ich mich als root anmelden und dann den Befehl ldapadd benutzen. Daher spiele ich das Schema mit folgendem Commando ein:

Im oben genannten Link und in der README.md stehen die Details zum prüfen der Erweiterung.

Nun muss ich mich am LDAP-Server (an der GUI oder per ldif-patch) anmelden und dem User die Objektklasse „Owncloud“ hinzufügen, um anschließend dann das Attribut „ownCloudQuota“ hinzu fügen. Mache ich dann zur Kontrolle einen ldif Export, sieht das wie folgt aus:

 

renew a buggy CMS Keystore with all certificates inside of them

Wie bereits in meinem letzten Beitrag Convert and Export Certificates from a KDB (CMS) Keystore zum Thema Keystores und Zertifikate erklärt, kann man mittels einiger Kommandos des Programms nicht nur den privaten und öffentlichen Schlüssel eines Zertifikates exportieren, sondern auch diese mitsamt der Signerzertifikate in einen neuen Keystore migrieren. Hier möchte ich nun kurz die Befehle erst einmal ablegen, die dazu notwendig sind, um alle Schritte sauber durchführen zu können.

Eventuell stelle ich bei Gelegenheit noch das zugehörige Script ein. Das ist aber im Moment noch nicht fertig.
Viel Spaß beim ausprobieren.
Die folgende Doku hat mir hier sehr gute Dienste geleistet: Use the Key Management Utility (IKEYMAN): IBM HTTP Server.

Configure Ubuntu Linux to use Smartcard Authentication within the Firefox-Browser

Einrichtung

Dieser Artikel erklärt kurz, wie man mit dem Firefox unter Ubuntu die Zertifikatsbasierte  Client Authentifizierung umsetzen kann.

Zuerst die folgenden Pakete installieren:

Als nächstes muss man den Firefox schließen, die SmartCard einlegen und wieder starten.
Jetzt im Firefox unter: Menü > Bearbeiten > Einstellungen > Erweitert > Zertifikate den Punkt „Kryptographie-Module“ auswählen und den angeschlossenen SmartCard-Reader per „Laden“ hinzufügen.

SmartCard im Firefox einrichten

SmartCard im Firefox einrichten

Dabei sollte bereits (falls benötigt) die Signatur-PIN auf der Smartcard freigeschaltet sein, da der Firefox diese auslesen und benutzen will.

Debugging

Den pcscd kann man auch per „Hand“ im Debug-Modus starten. Dazu einfach mit

in einem Terminal starten.
Dieser läuft dann im Vordergrund und gibt die Meldungen aus, wenn die Karte eingesteckt wird und welche Aktionen gerade passieren.

Links

hilfreiche Informationen fanden sich für mich hier: CommonAccessCard

Ausgabe von Time umleiten und weiterverarbeiten

Manchmal ist es nicht so ganz einfach die Ausgabe von Programmen so umzuleiten, dass diese z.B. mit „grep“ nachbearbeitet werden können! Der Linux Befehl „time“ ist ein Beispiel dafür. Der Trick besteht nun darin, den zu untersuchenden Befehl in eine Subshell auszulagern. Dies kann man erreichen, indem man ihn in geschweifte Klammern „{}“ einschließt.
Hier nun ein Beispiel:

How to show certificate validity period from the Linux command line

Recht oft kommt es bei mir vor, dass ich mal eben kurz herausfinden muss, wie lange ein Zertifikat gültig ist, welches ich als Datei vorliegen habe. Besonders unter Windows ist dies ganz einfach und mit Linux/Unix eigentlich noch einfacher, wenn ich mir immer den Befehl gleich merken könnte…

Evtl. kommt bei der Abfrage der Zertifikate ein Fehler:

Dies hat erst einmal nichts damit zu tun, dass hier keine Vertrauensstellung existiert, oder ein Trusted Certificat erwartet wird. Interessanter ist der erste Teil der Fehlermeldung „unable to load certificate„! Es kann das Zertifikat nicht geladen werden, da offentsichtlich das erwartete Format nicht korrekt ist.
Hier hilft dann das folgende Kommando:

Ausgabe des Enddatums der Zertifikatslebensdauer:

Mit dem folgenden Script kann man ausgeben, ob ein Zertifikat innerhalb der nächsten nnn Sekunden ausläuft. Natürlich muss man hier eine längere Periode berechnen. Ich denke 1-7 Tage machen Sinn:

Um den Ablauf von Zertifikaten auch mehrere Zertifikate zu prüfen, kann man sich an folgendem Script orientieren:

 

Ausgabe der Zertifikatsdetails direkt auf der Shell

 

Weitere Tipps und Tricks findet ihr auf dieser Seite: magenbrot-Wiki – OpenSSL-Zertifikate.