Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3 Domänendienste / LDAP-Verzeichnisdienst<br />
3.6 SSL-Zertifikatsverwaltung<br />
Unter UCS werden sensitive Daten immer verschlüsselt über das Netzwerk übertragen, zum Beispiel<br />
durch die Verwendung von SSH für den Login auf Systeme oder durch Verwendung von Protokollen auf<br />
Basis von SSL/TLS. (Transport Layer Security (TLS) ist der aktuelle Protokollname, der Name des Vor-<br />
gängerprotokolls Secure Socket Layer (SSL) ist jedoch weiterhin gebräuchlicher und wird auch in dieser<br />
Dokumentation verwendet).<br />
SSL/TLS kommt beispielsweise bei der Listener/Notifier-Domänenreplikation oder beim HTTPS-Zugriff auf<br />
die <strong>Univention</strong> Management Console zum Einsatz.<br />
Für eine verschlüsselte Kommunikation zwischen zwei Rechnern müssen beide Kommunikationspartner<br />
die Authentizität des verwendeten Schlüssels prüfen können. Dafür besitzt jeder Rechner ein so genanntes<br />
Rechnerzertifikat, das von einer Zertifizierungsstelle (Certification Authority, CA) herausgegeben und<br />
signiert wird.<br />
UCS bringt seine eigene CA mit, die bei der Installation des Domänencontroller Master automatisch ein-<br />
gerichtet wird und von der jedes UCS-System im Rahmen des Domänenbeitritts automatisch ein Zertifikat<br />
für sich selbst und das öffentliche Zertifikat der CA bezieht. Diese CA tritt als Root-CA auf, signiert ihr<br />
eigenes Zertifikat, und kann Zertifikate für andere Zertifizierungsstellen signieren.<br />
Die UCS-CA befindet sich immer auf dem Domänencontroller Master. Auf jedem Domänencontroller<br />
Backup wird eine Kopie der CA vorgehalten, die über einen Cronjob standardmäßig alle 20 Minuten mit<br />
der CA auf dem Domänencontroller Master synchronisiert wird.<br />
Achtung:<br />
Die CA wird nur vom Domänencontroller Master zum Domänencontroller Backup synchronisiert und nicht<br />
umgekehrt. Es sollte also ausschließlich die CA auf dem Domänencontroller Master verwendet werden.<br />
Wird ein Domänencontroller Backup zum Domänencontroller Master hochgestuft (durch Ausführung des<br />
Skripts univention-backup2master), so kann die CA auf dem dann neuen Domänencontroller Master<br />
direkt verwendet werden.<br />
Das UCS-Root-Zertifikat hat - ebenso wie die damit erstellten Rechnerzertifikate - einen bestimmten Gül-<br />
tigkeitszeitraum.<br />
Achtung:<br />
Ist dieser Zeitraum abgelaufen, funktionieren Dienste, die ihre Kommunikation mit SSL verschlüsseln (z.B.<br />
LDAP oder die Domänenreplikation) nicht mehr. Es ist deshalb notwendig, die Gültigkeit der Zertifikate zu<br />
regelmässig überprüfen und rechtzeitig das Root-Zertifikat rechtzeitig zu erneuern. Für die Überwachung<br />
des Gültigkeitszeitraums wird ein Nagios-Plugin bereitgestellt. Außerdem erfolgt bei der Anmeldung an der<br />
<strong>Univention</strong> Management Console eine Warnmeldung, wenn das Root-Zertifikat bald abläuft (der Warn-<br />
zeitraum kann mit der <strong>Univention</strong> Configuration Registry-Variable ssl/validity/warning festgelegt<br />
werden und beträgt standardmässig 30 Tage).<br />
Auf UCS-Systemen überprüft ein Cronjob täglich die Gültigkeit des lokalen Rechnerzertifikats und<br />
des Root-Zertifikats und schreibt das Ablaufdatum in die <strong>Univention</strong> Configuration Registry-Variable<br />
ssl/validity/days. Der dort angegebene Wert spiegelt die Anzahl der Tage seit dem 1.1.1970 wie-<br />
der. Ist die Gültigkeitsdauer des Root-Zertifikats kleiner als die des Rechner-Zertifikats, wird zusätzlich die<br />
<strong>Univention</strong> Configuration Registry-Variable ssl/validity/ca auf true gesetzt.<br />
46