Zertifikatsverteilung für Webserver automatisieren

[StefanWe 14]

Hallo,

wir betreiben eine interne AD integrierte PKI für unsere Computer und Webserver Zertifikate. Da wir mittlerweile auch intern immer mehr auf SSL umstellen, benötigen wir auch intern mehr Zertifikate für unsere Webserver.

 

Da aber bei einer Anzahl von > 50 Webservern ( IIS, Apache, Jenkins, sonstwas ) die Arbeit massiv zunimmt, die Frage, wie ihr automatisch die Zertifikate an die Webserver verteilt. 

 

Welche Tipps habt ihr?

[NorbertFe 2.277]

Beim IIS gibts Zertifikats-Rebind, wenn die Vorlage entsprechend auf der Windows-CA konfiguriert ist. Bei Apache usw. keine Ahnung. :)

[testperson 1.857]

Hi,

 

eine ACME-fähige Zertifizierungsstelle à la Let's Encrypt, Zero SLL oder so mit passendem ACME Client zum ausrollen / erneuern der Zertifikate?

 

Ggfs. lässt sich die Windows PKI auch ACME-fähig machen: GitHub - grindsa/acme2certifier: library implementing ACME server functionality

 

Gruß

Jan

bearbeitet 18. April 2023 von testperson

[zahni 587]

Bei Java ist es immer eine Bastelstunde mit KSE https://keystore-explorer.org/index.html Ich wüsste nicht, wie man das automatisieren soll. 

[PadawanDeluXe 79]

vor 9 Stunden schrieb StefanWe:

 

Da aber bei einer Anzahl von > 50 Webservern ( IIS, Apache, Jenkins, sonstwas ) die Arbeit massiv zunimmt, die Frage, wie ihr automatisch die Zertifikate an die Webserver verteilt. 

 

Ich würde hier an dieser Stelle mal darüber nachdenken ein grundsätzliches Automatsierungstool einzuführen. Wenn ihr das habt - scripting machen. Das startet man am besten mit einem PAP. Wir haben ein Automatisierungstool und ich baue meine Tasks genau nach diesem Prinzip nach. Möglichst mit Boardmitteln per Shell dann habe ich die wenigstens Probleme gehabt in der Vergangenheit. 

[StefanWe 14]

@PadawanDeluXe grundsätzlich guter Gedanke. Mit was automatisiert ihr? Ich denke da gerade an Ansible...

[PadawanDeluXe 79]

Wir nutzen unterschiedliche Tools. Ja Ansible ist toll, aber auch SCCM oder andere