Account ACME per il rilascio automatico dei certificati server

La durata dei certificati rilasciati verrà ridotta in futuro fino al massimo di 47 giorni per cui si consiglia vivamente il rinnovo automatico con il sistema ACME.

E' possibile richiedere uno o più account ACME per il rilascio e rinnovo automatico dei certificati.

• Ad amministratori di sistema o aziende contrattualizzate diverse devono corrispondere account ACME diversi.
• Un singolo amministratore di sistema può richiedere più account ACME qualora desideri dividere amministrativamente più gruppi di server. In tal caso dovrà porre attenzione a fornire una descrizione puntuale della funzione di ogni singolo account e assegnare uno short-name all'atto della creazione dell'account.

Email per le richieste: acme@units.it Dati obbligatori:

• Matricola richiedente
• Brevissima descrizione funzionale dell'account di cui si chiede la creazione e nickname associato

Ti verrà restituito un account composto da:

• Key ID
• HMAC Key
• Server URL

Con i dati qua sopra e con il tuo email registrerai in certbot (dopo averlo installato, vedi più avanti) l'account ACME da usare

certbot register --email <EMAIL> --server <Server URL> --eab-kid <Key ID> --eab-hmac-key <HMAC Key>

Il risultato sarà la creazione dell'account e della relativa chiave nella directory /etc/letsencrypt/accounts.

Il client di riferimento per l'uso di Let's Encrypt e del protocollo ACME, adottato anche dalla Certyification Authority corrente è certbot. Scaricalo e installano secondo quanto descritto nella pagina certbot selezionando il tuo server web re sistema operativo.

Avrete bisogno dei seguenti partametri:

• Key ID
• HMAC Key
• Server URL

Key ID e HMAC KEy devono rimanere riservati.

Il comando può configurare automaticamente i server Apache (–apache) e NGINX (–nginx). In tutti gli altri casi e' possibile scaricare solo i certificati (certonly –standalone).

certbot run --apache --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>
certbot run --nginx --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>
certbot certonly --standalone --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>

certbot certonly --standalone --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato1>,<FQDN2-certificato>,<FQDN3-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>

La procedura per questo genere di server è un po' più complessa e prevede la pubblicazione del nome sul DNS pubblico. E' possibile verificare l'esistenza del nome usando dns pubblici come ad esempio:

• Cloudflare DNS: 1.1.1.1 e 1.0.0.1.
• Google Public DNS: 8.8.8.8 e 8.8.4.4.
• OpenDNS: 208.67.222.222 e 208.67.220.220.

Linux:
  host mioserver.zonaprivata.units.it 1.1.1.1
  dig mioserver.zonaprivata.units.it @1.1.1.1

Windows:
  nslookup
    server 1.1.1.1
    mioserver.zonaprivata.units.it

• Se il nome non è pubblico, chiederne la pubblicazione a scopo certificato ACME a acme@units.it.

• Installare certbot come per i server pubblici (vedi sopra), ma:
  • Prima di fare sudo /opt/certbot/bin/pip install certbot certbot-apache, in /opt/certbot/pip.conf va aggiunto:

[global]
proxy = http://proxy.units.it:8080

• Ridare il comando di aggiornamento di pip

• Aggiungere questi due environment per abilitare certbot ad usare il proxy prima di richiedere il certificato

echo "export http_proxy=http://proxy.units.it:8080" >> /opt/certbot/bin/activate
echo "export https_proxy=http://proxy.units.it:8080" >> /opt/certbot/bin/activate

Scoprire se un'instanza di certbot ha già degli account associati:

certbot show_account

certbot certificates

E' possibile far eseguire uno script per installazioni custom dei certificati in posizioni specifiche e riavvio conseguente del servizio se necessario.

• Creare il file /etc/letsencrypt/cli.ini se non esiste gia
• Aggiungere la riga:

deploy-hook = /path/to/custom/certbot_deploy_hook.sh

La semplicità con cui è possibile rinnovare i certificati è molto probabilmente il maggior punto di forza di ACME e certbot.

Il rinnovo avviene con il comando renew e rinnova automaticamente tutti i certificati presenti in /etc/letsencrypt e che stanno per scadere entro 30 giorni:

certbot renew

Ci sono una serie di opzioni utili per il rinnovo dei certificati che è bene conoscere:

    --quiet silenzia il comando, utile per richiamare il rinnovo da cron.
    --force-renewal forza il rinnovo di tutti i certificati indipendentemente dalla loro data di scadenza.
    --reuse-key rinnova solo il certificato, ma non emette anche una nuova chiave (default false).

Per revocare i certificati emessi utilizzare il comando revoke dallo stesso account ACME che ha generato il certificato (sostituire <SERVER URL> con il corrispondente valore presente nell'account ACME sul CM di Harica).

Nel caso non si abbia piu' accesso all'account che ha generato il certificato, richiederne la revoca urgente al numero di telefono 040 558 3331.

Nel caso di certificati per più nomi di dominio, basterà specificare uno dei nomi validi. Inoltre tramite l'opzione –cert-path è possibile utilizzare il percorso del certificato al posto del nome di dominio:

certbot revoke --email <EMAIL> --server <SERVER URL> --cert-path /etc/letsencrypt/live/<FQDN-certificato>/cert.pem --reason <motivo della revoca>

default

Indica che la chiave privata associata al certificato è stata compromessa oppure si sospetta che lo sia. È una delle revoche più critiche: il certificato non deve più essere considerato affidabile perché un attaccante potrebbe usarlo.

Esempi:

• Furto della chiave privata
• Accesso non autorizzato al keystore
• Malware che ha esfiltrato la chiave
• Smarrimento di token/smart card contenenti la chiave

Indica che sono cambiate le informazioni relative all’organizzazione o all’affiliazione del soggetto del certificato. La chiave potrebbe essere ancora sicura, ma le informazioni contenute nel certificato non sono più corrette.

Esempi:

• Cambio azienda del titolare
• Cambio reparto/ruolo
• Cambio ragione sociale
• Cambio dominio aziendale

Indica che il certificato è stato sostituito da un nuovo certificato. Il vecchio certificato viene revocato perché ne esiste uno più recente che deve essere utilizzato al suo posto.

Esempi:

• Rinnovo anticipato
• Aggiornamento algoritmi crittografici
• Nuovo certificato con dati aggiornati
• Migrazione a chiavi più forti

Indica che il soggetto ha cessato l’attività o non utilizza più il certificato. Il certificato non è compromesso, ma non ha più motivo di esistere o essere utilizzato.

Esempi:

• Chiusura azienda
• Servizio dismesso
• Server spento definitivamente
• Applicazione non più operativa

E' possibile usare altri client ACME come ad esempio acme.sh, lego, win-acme, ma non riusciamo a fornire assistenza su questi.

Guida GARR Certification Service