Proceda com a [configuração do ambiente de trabalho administrativo](/install).
-Branch especial
----------------
-
-Mudando para o branch `certs` da configuracao do puppet:
-
- cd $FOLDER/puppet
- git pull
- git checkout certs # "checkout -b" se o branch nao existe
- git merge master
-
Gerando novas chaves
--------------------
Proceda usando o [keyringer](https://keyringer.pw):
- keyringer $HYDRA genpair ssl ssl/$DOMAIN *.$DOMAIN $FOLDER/puppet/keys/ssl/$DOMAIN
+ keyringer $HYDRA genpair ssl ssl/$DOMAIN *.$DOMAIN
No caso da chave snakeoil (fornecida quando um atacante acessa https://IP), use
- keyringer $HYDRA genpair ssl-self ssl/example.org example.org $FOLDER/puppet/keys/ssl/example.org
+ keyringer $HYDRA genpair ssl-self ssl/example.org example.org
Chaves também podem ser geradas em massa. No caso de certificados simples (não-wildcard):
for domain in $DOMAINS; do
- keyringer $HYDRA genpair ssl ssl/$domain $domain $FOLDER/puppet/keys/ssl/$domain
+ keyringer $HYDRA genpair ssl ssl/$domain $domain
done
Registrando mudancas parciais
keyringer $HYDRA git commit
keyringer $HYDRA git push
- git commit -a -m "Nova chave SSL"
- git push
Comprando um certificado
------------------------
Após a renovação
----------------
- mv /path/to/$DOMAIN.crt keys/ssl/$DOMAIN.crt
- cat keys/ssl/gandi.crt >> keys/ssl/$DOMAIN.crt # baixe o intermediario para este caminho
- cat keys/ssl/$DOMAIN.pem > keys/ssl/$DOMAIN-concat.pem
- cat keys/ssl/$DOMAIN.crt >> keys/ssl/$DOMAIN-concat.pem
- cat keys/ssl/$DOMAIN.crt >> keys/ssl/$DOMAIN-concat.crt
- cat keys/ssl/$DOMAIN.crt | keyringer $HYDRA encrypt ssl/$DOMAIN.crt
+ cat /path/to/registrar.crt >> /path/to/$DOMAIN.crt
+ cat keys/ssl/$DOMAIN.crt | keyringer $HYDRA encrypt ssl/$DOMAIN.crt
# Registrando e enviando mudancas finais
keyringer $HYDRA git commit
keyringer $HYDRA git push
- git commit -a -m "Novo certificado"
- git push
-
- # Aplicando as mudancas no branch principal
- git checkout master
- git merge certs
- git push
Informações de fingerprint:
- openssl x509 -noout -text -in keys/ssl/$DOMAIN.crt
- openssl x509 -noout -fingerprint -in keys/ssl/$DOMAIN.crt
- openssl x509 -noout -fingerprint -in keys/ssl/$DOMAIN.crt -md5
+ openssl x509 -noout -text -in /path/to/$DOMAIN.crt
+ openssl x509 -noout -fingerprint -in /path/to/$DOMAIN.crt
+ openssl x509 -noout -fingerprint -in /path/to/$DOMAIN.crt -md5
Verificando os certificados assinados:
- openssl verify -verbose -CAfile keys/ssl/gandi.crt keys/ssl/$DOMAIN.crt
+ openssl verify -verbose -CAfile /path/to/registrar.crt /path/to/$DOMAIN.crt
Comunicação ao público:
* Modelos de mensagens de email disponível em `templates/certs`.
* Notificação para `https://www.$DOMAIN/pt-br/certs` dispínvel em `notices/certs*`.
-Assine as comunicações com a [chave do grupo](https://protocolos.sarava.org/trac/wiki/Comunicacao/OpenPGP), por exemplo:
+Assine as comunicações com a [chave do grupo](https://protocolos.fluxo.info/trac/wiki/Comunicacao/OpenPGP), por exemplo:
GPG_AGENT_INFO="" gpg -b --armor --default-key $KEY_FINGERPRINT -s $FOLDER/doc/notices/certs/$DOMAIN.pt-br.txt
GPG_AGENT_INFO="" gpg -b --armor --default-key $KEY_FINGERPRINT -s $FOLDER/doc/notices/certs/$DOMAIN.en.txt
Checando expiração em massa
---------------------------
-É necessário instalar o [ssl-cert-check](https://git.sarava.org/?p=ssl-wrapper.git;a=summary):
+É necessário instalar o [ssl-cert-check](https://git.fluxo.info/ssl-wrapper):
cd $FOLDER/puppet/keys/ssl
projects / padrao.git / commitdiff