Debian Lemur
Introduction
Lemur erstellt eine / oder mehrere lokale RootCA's für die übersichtlich und einfach Server oder Client Zertifkate ausgestellt, verlängert oder wiederrufen werden können. Das ganze erfolgt komplett im Webbrowser. Es stehen zahlreiche Plugins zur Verfügung mit deren Hilfe z.B. auch letsencrypt validierte Server Zertifikate verwalet werden können. Lemur wurde von Netflix entwickelt, das dort für die eigene Infrastruktur verwendet wird und über Github der Allgemeinheit zur Verfügung gestellt wurde. Lemur ist ein Python Server Dienst
Installation
Debian Pakete
Lemur benötig zahlreiche Pakete, die aus den Debian Paketquellen installierbar sind
apt-get install sudo nodejs python3-pip python-dev python3-dev libpq-dev build-essential libssl-dev libffi-dev libsasl2-dev libldap2-dev apache2 git supervisor npm postgresql gulp git
User für Lemur Dienst
useradd -m -s /bin/bash lemur passwd lemur
Python envirnonment einrichten für Lemur
pip install -U virtualenv mkdir /www cd /www git clone https://github.com/Netflix/lemur chown -R lemur lemur/ su lemur virtualenv -p python3 lemur source /www/lemur/bin/activate cd lemur make release
Konfiguration erstellen und anpassen
lemur create_config vi ~/.lemur/lemur.conf.py
Folgende Parameter anpassen:
LEMUR_EMAIL = 'lemur@domain.org' LEMUR_SECURITY_TEAM_EMAIL = 'lemur@domain.org' LEMUR_DEFAULT_COUNTRY = 'DE' LEMUR_DEFAULT_STATE = 'Bavaria' LEMUR_DEFAULT_LOCATION = 'Other' LEMUR_DEFAULT_ORGANIZATION = 'Private' LEMUR_DEFAULT_ORGANIZATIONAL_UNIT = 'Network Admin' LOG_FILE = "/www/lemur/lemur.log"
oben vergebenes Datenbank Passwort lemur_pwd ersetzen
SQLALCHEMY_DATABASE_URI = 'postgresql://lemur:lemur_pwd@localhost:5432/lemur'
Folgende Zeilen ans Ennde anfügen, um Warninngs der Plugins zu unterbinden:
DIGICERT_URL = ' ' DIGICERT_ORG_ID = ' ' DIGICERT_ORDER_TYPE = ' ' DIGICERT_ROOT = ' ' DIGICERT_CIS_API_KEY = ' ' DIGICERT_CIS_URL = ' ' DIGICERT_CIS_ROOTS = ' ' DIGICERT_CIS_PROFILE_NAMES = ' ' DIGICERT_API_KEY = ' ' ENTRUST_API_KEY = ' ' ENTRUST_API_CERT = ' ' ENTRUST_API_USER = ' ' ENTRUST_API_PASS = ' ' ENTRUST_URL = ' ' ENTRUST_ROOT = ' ' ENTRUST_NAME = ' ' ENTRUST_EMAIL = ' ' ENTRUST_PHONE = ' '
lemur User Umgebung verlassen
exit
Datenbank für Lemur einrichten
sudo -u postgres -i psql
möglichst langes und komplexes Passwort lemur_pwd vergeben, da Lemur User SuperUser Rechte bekommt.
CREATE USER lemur WITH PASSWORD 'lemur_pwd'; alter role lemur createrole SuperUser;
Postgres verlassen mit der Tastenkombination:
\q
Datenbank anlegen:
createdb lemur
Postgres Umgebung verlassen:
exit
Lemur initialisiern und starten
su lemur cd /www/lemur/lemur /www/lemur/bin/lemur init
Ein Passwort des Webusers lemur wird abgefragt. Dieser User hat nichts mit dem Linux User lemur zu tun, unter dessen Rechten der Lumur Dienst ausgeführt wird.
/www/lemur/bin/lemur start
Lemur sollte starten und keine Fehler ausgeben. Evtl. Warnings können ignoriert werden. Lemur startet auf diese Weise nicht als Dienst, sondern im Vordergrund und blockiert das aktuelle Terminal Fenster. Lemur abbrechen und lemur Umgebung verlassen:
CTRL-C exit
Systemd Diemst für Lemur
vi vi /etc/systemd/system/lemur.service
Folgende Zeilen einfügen:
[Unit] Description=Neflix TLS certificate manager Requires=network-online.target After=network-online.target [Service] User=lemur Group=lemur ExecStart=/www/lemur/bin/lemur --config=/home/lemur/.lemur/lemur.conf.py start -b 127.0.0.1:8000 Restart=always PrivateTmp=yes ProtectSystem=full NoNewPrivileges=yes [Install] WantedBy=multi-user.target
Dienst aktivieren und starten:
systemctl daemon-reload systemctl enable lemur.service systemctl start lemur.service
check ob Lemur Process läuft:
systemctl status lemur.service
Die Ausgabe sollte folgende Zeile enthalten:
Active: active (running)
Web Proxy
Standardmäßig läuft lemur auf Port 8000. Der Port könnte zwar geändert werden aber nicht auf Port 443, wenn Lemur als beschränkter User lemur laufen soll. Um Lemur dennoch auf Port 443 erreichbar zu machen wird Apache als Reverse Proxy verwendet. Falls noch kein SSL-Zertifikat für den Lemur-Host zur Verfügung steht, kann zunächst das generische Cert sakeoil verwendet werden, das auf jedem Debian System zur Verfügung steht. Mit Hilfe von Lemur kann anschließend ein angepasstes Zertifikat für den Lemur Host generiert werden und in den Apache Virtualhost eingetragen werden.
vi /etc/apache2/sites-available/lemur_https.conf
Folgende Zeilen einfügen und anpassen (domain.org entsprechend anpassen, Pfad zu SSL Zertifikat und Key ebenfalls anpassen):
<VirtualHost *:443> ServerName domain.org SSLEngine on SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key # intermediate configuration, tweak to your needs SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security "max-age=15768000" # Set the lemur DocumentRoot to static/dist DocumentRoot /www/lemur/lemur/static/dist <Directory /www/lemur/lemur/static/dist> Require ip 192.168.0.0/16 </Directory> # Uncomment to force http 1.0 connections to proxy # SetEnv force-proxy-request-1.0 1 #Don't keep proxy connections alive SetEnv proxy-nokeepalive 1 # Only need to do reverse proxy ProxyRequests Off <Proxy *> Require ip 192.168.0.0/16 </Proxy> # Proxy requests to the api to the lemur service (and sanitize redirects from it) ProxyPass "/api" "http://127.0.0.1:8000/api" ProxyPassReverse "/api" "http://127.0.0.1:8000/api" </VirtualHost>
Virtualhost aktivieren:
a2ensite lemur_https
nötige Module aktivieren:
a2enmod ssl headers proxy proxy_http proxy_html
Apache neu starten:
service apache2 restart
Funktionstest mit Webbrowser
Ip oder Domainname des Lemur servers per HTTP und/oder HTTPS in die Adresszeile des Browsers eingeben. Die Lemur Login Seite sollte erscheinen. Mittels User lemur und Web-Passwort, das bei während der Initialisierung vergeben wurde, einloggen.
Optional CFSSL Plugin
Lemur unterstützt zahlreiche Plugins zur Erstellung der Zertifikate. Das integrrierte Plugin Cryptographic verwendet das openssl Paket für die Generierung der Schlüssel und Zertifikate. Neben zahlreichen Plugins, die Zertifikate mittels kommerzieller Zertifizierungsstellen, bietet CFSSL (CloudFlare SSL) die Generierung von kostenlosen Zeretifikaten.
Installation
apt-get install golang useradd -m -s /bin/bash cfssl passwd cfssl su - cfssl go get -u github.com/cloudflare/cfssl/cmd/... go get bitbucket.org/liamstask/goose/cmd/goose exit ln -s /home/cfssl/go/bin/cfssl* /usr/local/bin/ ln -s /home/cfssl/go/bin/multirootca /usr/local/bin/ ln -s /home/cfssl/go/bin/mkbundle /usr/local/bin/ ln -s /home/cfssl/go/bin/goose /usr/local/bin/ mkdir /etc/ssl/cfssl_ca chown cfssl. /etc/ssl/cfssl_ca
Datenbank
su - postgres psql
cfssl_pwd sollte möglichst lange und kompliziert gewählt werden. Sonderzeichen sollten vermieden werden.
CREATE USER u_cfssl WITH PASSWORD 'cfssl_pwd'; CREATE DATABASE db_cfssl OWNER u_cfssl; \q exit vi /etc/postgresql/13/main/pg_hba.conf
folgende Zeilen ans Ende anfügen:
host db_cfssl u_cfssl 127.0.0.1/32 scram-sha-256 host db_cfssl u_cfssl ::1/128 scram-sha-256
Postgres neu starten
service postgresql restart
su - cfssl mkdir /etc/cfssl vi /etc/cfssl/db-config.json
folgende Zeilen einfügen (cfss_pwd mit eben angelegtem Passwort für db user u_cfssl ersetzenn):
{ "driver": "postgres", "data_source": "postgres://u_cfssl:cfssl_pwd/db_cfssl" }
goose configfile cbconf.yml:
vi ~/go/src/github.com/cloudflare/cfssl/certdb/pg/dbconf.yml
Folgende Zeilen am Ende anfügen und cfssl_pwd anpassen:
custom: driver: postgres open: user=u_cfssl password=cfssl_pwd dbname=db_cfssl sslmode=disable
Datenbank befüllen:
goose --env custom -path ~/go/src/github.com/cloudflare/cfssl/certdb/pg up
Root CA und Intermediate CA Zertifikate
Verzeichnisse erstellen:
su - cfssl mkdir /etc/ssl/cfssl_ca/root mkdir /etc/ssl/cfssl_ca/intermediate
Root CA:
vi /etc/ssl/cfssl_ca/root/csr_ROOT_CA.json
Folgende Zeilen einfügen und evtl. anpassen:
{ "CN": "Private Root CA", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "DE", "ST": "Bavaria", "L": "Other", "O": "Private", "OU": "Certificate Management" } ], "ca": { "expiry": "262800h" } }
Folgender Befehl generiert Root CA private Key root_ca-key.pem und Zertifikat root_ca.pem:
cfssl gencert -initca /etc/ssl/cfssl_ca/root/csr_ROOT_CA.json | cfssljson -bare /etc/ssl/cfssl_ca/root/root_ca
Intermediate CA:
vi /etc/ssl/cfssl_ca/intermediate/csr_intermediate.json
Folgende Zeilen einfügen und evtl. anpassen:
{ "CN": "Private Intermediate CA", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "DE", "ST": "Bavaria", "L": "Other", "O": "Private", "OU": "Certificate Management" } ], "ca": { "expiry": "42720h" } }
Konfigfile:
vi /etc/ssl/cfssl_ca/intermediate/root_to_intermediate_ca.json
Folgende Zeilen einfügen und evtl. anpassen:
{ "signing": { "default": { "usages": [ "digital signature", "cert sign", "crl sign", "signing" ], "expiry": "262800h", "ca_constraint": { "is_ca": true, "max_path_len": 0, "max_path_len_zero": true } } } }
Folgende Befehle generieren Intermediate CA private Key intermediate_ca-key.pem und Zertifikat intermediate_ca.pem, das von eben erstellter Root CA signiert wird:
cfssl gencert -initca /etc/ssl/cfssl_ca/intermediate/csr_intermediate.json | cfssljson -bare /etc/ssl/cfssl_ca/intermediate/intermediate_ca cfssl sign -ca /etc/ssl/cfssl_ca/root/root_ca.pem -ca-key /etc/ssl/cfssl_ca/root/root_ca-key.pem -config /etc/ssl/cfssl_ca/intermediate/root_to_intermediate_ca.json /etc/ssl/cfssl_ca/intermediate/intermediate_ca.csr | cfssljson -bare /etc/ssl/cfssl_ca/intermediate/intermediate_ca
Verifizierung, dass Intermediate CA von Root CA unterschrieben und gültig ist:
openssl verify -CAfile /etc/ssl/cfssl_ca/root/root_ca.pem /etc/ssl/cfssl_ca/intermediate/intermediate_ca.pem
Folgende Zeile wird ausgegeben:
/etc/ssl/cfssl_ca/intermediate/intermediate_ca.pem: OK
Falls nicht, macht es keinen Sinn, weiterzumachen, da die Zertifikate nicht gültig sind und später zu Problemen führen werden. Fehlersuche ist erforderlich.
CFSSL Service
CFSSL wird als Daemon ausgeführt, der mit Lemur via Netzwerk kommuniziert, anstelle von CLI-Befehlen, mit denen die CA eben erstellt wurde. Dafür sind Konfigfiles erforderlich.
vi /etc/cfssl/config.json
Folgende Zeilen einfügen und API_KEY anpassen. Der Key ist ein HMAC-Hex-Key, der möglichst lang sein sollte. Er schützt den API-Server vor unberechtigtem Zugriff:
{ "signing": { "default": { "ocsp_url": "http://Domain_Server:8889", "crl_url": "http://Domain_Server:8888/crl", "expiry": "26280h", "usages": [ "signing", "key encipherment", "client auth", "server auth" ] }, "profiles": { "intermediate": { "expiry": "43800h", "usages": [ "signing", "key encipherment", "cert sign", "crl sign" ], "ca_constraint": { "is_ca": true, "max_path_len": 1 } }, "ocsp": { "usages": [ "digital signature", "ocsp signing" ], "expiry": "26280h" }, "serverCA": { "expiry": "43800h", "usages": [ "signing", "key encipherment", "server auth", "cert sign", "crl sign" ] }, "server": { "expiry": "43800h", "usages": [ "signing", "key encipherment", "server auth" ] }, "client": { "expiry": "43800h", "usages": [ "signing", "key encipherment", "client auth", "email protection" ] } } }, "auth_keys": { "default_auth": { "type": "standard", "key": "API_KEY" } } }
Symlinks in /etc/cfssl/ erstellen
ln -s /etc/ssl/cfssl_ca/root/root*.pem /etc/cfssl/ ln -s /etc/ssl/cfssl_ca/intermediate/intermediate_ca*.pem /etc/cfssl/
CFSSL-API Server im Vordergrund starten:
cfssl serve -address 127.0.0.1 -ca /etc/cfssl/intermediate_ca.pem -ca-key /etc/cfssl/intermediate_ca-key.pem -port 8888 -db-config /etc/cfssl/db-config.json -config /etc/cfssl/config.json
Der API-Server sollte starten und einige Zeilen mit Infos und Warnings auszugeben. Server mit CTL-C beenden. Falls API-Server läuft, Systemd-Service File anlegen. Der Systemdienst muss als root user angelegt werden. Deshalb cfssl user mit exti verlassen:
exit: vi /etc/systemd/system/cfssl.service
Folgende Zeilen einfügen:
[Unit] Description=CloudFlare's PKI/TLS toolkit Requires=network-online.target After=network-online.target [Service] User=cfssl Group=cfssl ExecStart=/usr/local/bin/cfssl serve -address 127.0.0.1 -ca /etc/cfssl/intermediate_ca.pem -ca-key /etc/cfssl/intermediate_ca-key.pem -port 8888 -db-config /etc/cfssl/db-config.json -config /etc/cfssl/config.json Restart=always PrivateTmp=yes ProtectSystem=full NoNewPrivileges=yes [Install] WantedBy=multi-user.target
CFSSL Daemon aktivieren im Hintergrund startenn.
systemctl daemon-reload systemctl enable cfssl.service systemctl start cfssl.service
Eibindung in Lemur
Lemur Konfigfile anpassen:
vi /home/lemur/.lemur/lemur.conf.py
Folgende Zeilen einfügen und ROOT_CA und INTERMEDIATE_CA mit dem Inhalt der root_ca.pem und intermediate_ca.pem ersetzen:
CFSSL_URL ="http://127.0.0.1:8888" CFSSL_ROOT ="""ROOT_CA""" CFSSL_INTERMEDIATE ="""INTERMEDIATE_CA""" CFSSL_KEY = "API_KEY"
z.B.
CFSSL_ROOT ="""-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----""" CFSSL_INTERMEDIATE ="""-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----""" CFSSL_KEY = "API_KEY"
In Lemur eine neue root authority anlegen:
- Typ: root
- Plugin: CSSL
- alle anderen Optionen wir gewünscht
In Lemur eine neue SubCA authority anlegen:
- Typ: subca
- Parent Authority: Eben erstellte CFSSL Root CA
- Plugin: CFSSL
- alle anderen Optionen wir gewünscht
CRL und OCSP Responder
CRL (Certificate Revocation List) -> statisch und OCSP (Online Certificate Status Protocol) -> dynamisch geben den statusch zurückgerufener Zertifikate an Clients wieder, um diesen zurückgerufene, ungültige Zertifikate mitzuteilen. CFSSL bietet dieses ebenfalls an.
mit lemur ein OCSP Zertifikat und Key generieren (Intermediate CFSSL CA auswählen).
- Zertifikat unter /etc/ssl/cfssl_ca/certs/ocsp.pem ablegen
- Key unter /etc/ssl/cfssl_ca/certs/ocsp-key.pem ablegen
- Links anlegen:
ln -s /etc/ssl/cfssl_ca/certs/ocsp*pem /etc/cfssl/
- Systemd Service-File anpassen:
vi /etc/systemd/system/cfssl.service
ExecStart folgendermaßen erweitern:
ExecStart=/usr/local/bin/cfssl serve -address 127.0.0.1 -ca /etc/cfssl/intermediate_ca.pem -ca-key /etc/cfssl/intermediate_ca-key.pem -port 8888 -db-config /etc/cfssl/db-config.json -config /etc/cfssl/config.json -responder /etc/cfssl/ocsp.pem -responder-key /etc/cfssl/ocsp-key.pem
- Service neu starten:
systemctl daemon-reload systemctl restart cfssl.service
- Database Dump:
cfssl ocspdump -db-config /etc/cfssl/db-config.json >/etc/cfssl/ocsdump.txt
- OCSP Daemon starten (IP_Server mit der aktuellen IP ersetzen):
cfssl ocspserve -address=IP_Server -port=8889 -responses=/etc/cfssl/ocsdump.txt
Optional webbased Postgres Admin phppgadmin
Optional kann phppgadmin installiert werden, um grafisch auf die Postgres Datenbank zugreifen zu könnnen.
apt-get install php7.* php7.*-mbstring php7.*-pgsql libapache2-mod-php7.* phppgadmin
PHP Apache Modul aktivieren:
a2enmod php7.x
x mit der installierten PHP-Version ersetzen
Zugriff aus dem LAN auf phppgadmin:
vi /etc/apache2/conf-enabled/phppgadmin.conf
Folgende Änderung durchführen (Require local auskommentieren und Require ip Zeile einfügen):
#Require local Require ip 192.168.0.0/16
Apache neu starten
service apache2 restart
Postgres konfigurieren:
su - postgres psql \password postgres
2xneues postgres admin user passwort vergeben, das für den Zugriff durch phppgadmin nötig ist Postgres mit \q verlassen
\q
su Umgebung verlassen:
exit
phppgadmin Konfiguration anpassen:
vi /etc/phppgadmin/config.inc.php
['extra_login_security'] von true nach alse ändern
$conf['extra_login_security'] = false;
Webbrowser öffnen und http://ip-des-server/phppgadmin/ eigeben. Die phppgadmin seite sollte erscheinen. im linken Bereich Sever/PostgreSQL anklicken und mittels user postgres und eben vergebenem Passwort einloggen.