Benutzer-Werkzeuge

Webseiten-Werkzeuge

hackspace:infrastruktur:padlock

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
Nächste Überarbeitung		Vorherige Überarbeitung
hackspace:infrastruktur:padlock [06.03.2023 13:38] Lukas Rugehackspace:infrastruktur:padlock [09.05.2025 13:02] (aktuell) – [Einzelne Zertifikate] Malte
Zeile 1: Zeile 1:
 ====== Türschloss ====== ====== Türschloss ======
  
-Es ist möglich die Tür unten am Hackerspace digital zu öffnen. Dafür benötigt man einen vom Keymaster signierten Key. Um diesen zu erhalten muss man dem Keymaster ein //Certificate Signing Request// schicken. Im Folgenden ist beschrieben, wie man das tut.+Es ist für Mitglieder möglich die Tür unten am Hackerspace digital zu öffnen. Dafür benötigt man einen vom Keyadmin signierten Key. Um das zu beantragen benötigst du einen freigeschalteten [[:hackspace:infrastruktur:keycloak|Chaotikum-Account]].
  
-======Einen Schlüssel generieren====== +Wie es dann weitergeht, ist auf der Seite [[:intern:schluesselvergabe|Anleitung zur Schlüsselvergabe]] dokumentiert (Link kann nur mit Chaotikum-Account angeschaut werden).
-===== CSR =====+
  
-Generieren des CSRs: 
  
-  openssl req -nodes -new -newkey rsa:4096 -sha256 -out mein.csr +Am Ende des Prozesses erhaltet ihr vom Keyadmin eine CRT Datei, hier stehtwas damit zu tun ist.
-   +
-Bittet achtet darauf sinnvolle Daten (CommonName und Email Adresse) einzugeben. Insbesondere der CommonName muss gesetzt werden! +
- +
-Bei Email im CSR ist eine dem Vorstand bekannte (deine chaotikum-Mail Adresse oder die, die du beim anmelden im Verein angegeben hast) oder einfach nachvollziehbare E-Mail-Adresse zu verwenden (Sie gilt als einfach nachvollziehbar, wenn dein tatsächlicher Name darin erkennbar ist). +
- +
-Mit Ausführen des Befehls wird die Datei //privkey.pem// und //mein.csr// erzeugt. Letztere muss man von unsere(m|n) Schlüsselmeister Keymasterden/die ihr über die [[hackspace:infrastruktur:mailinglisten|Mailingliste]] keymaster@ erreichtsignieren lassen um ein Zertifikat zu erhalten (also ihm diese Datei per mail schicken und warten bis man ne crt erhält). Die andere behält man für sich.+
  
 ===== P12 Datei erstellen ===== ===== P12 Datei erstellen =====
Zeile 24: Zeile 16:
 (tut unter mac os und linux, windows noch nicht getestet) (tut unter mac os und linux, windows noch nicht getestet)
  
-Ein modernes Android kommt dabei mit einer modernen p12-Datei nicht klar. Siehe [[https://stackoverflow.com/questions/71872900/installing-pcks12-certificate-in-android-wrong-password-bug|Installing pcks12 certificate in android "wrong password" bug]]. Bei mir wurde das Password zwar richtig erkannt, aber dann wurde das Zertifikat ewig entpackt. Der Legacy-Mode hat trotzdem geholfen:+Ein modernes Android, ein iOS 17 und ein macOS 14 kommen dabei mit einer modernen p12-Datei nicht klar. Siehe [[https://stackoverflow.com/questions/71872900/installing-pcks12-certificate-in-android-wrong-password-bug|Installing pcks12 certificate in android "wrong password" bug]]. Bei mir wurde das Password zwar richtig erkannt, aber dann wurde das Zertifikat ewig entpackt. Der Legacy-Mode hat trotzdem geholfen:
  
   openssl pkcs12 -export -legacy -inkey privkey.pem -in myName.crt -out myName.p12   openssl pkcs12 -export -legacy -inkey privkey.pem -in myName.crt -out myName.p12
Zeile 127: Zeile 119:
 Installiert ist das auf case in einer VM. Installiert ist das auf case in einer VM.
  
-====== Oo ======= +====== Gültigkeitsdauer der Zertifikate ======= 
-Mai 2025 geht übrigens plötzlich alles kaputt. Denn dann laufen die Zertifikate aus. Diese Sätze stehen einfach nur hier damit das gelegentlich jemand ließt.+ 
 +===== Root CA ===== 
 + 
 +Apr 25 12:55:48 2035 GMT geht übrigens plötzlich alles kaputt. Denn dann läuft das Root-Zertifikat aus. Am besten fangen wir bereits ein Jahr vorher an, gleichzeitig zum bisherigen Root-Zertifikat bereits ein neues zu verwenden. Dann haben wir einen ganz sanften Übergang und die Deadline ist gar nicht so schlimm. Diese Sätze stehen einfach nur hier damit das gelegentlich jemand ließt
 + 
 +===== Einzelne Zertifikate ===== 
 + 
 +Die individuell signierten Zertifikate sind 825 Tage gültig, also etwas mehr als 2 Jahre. Entsprechend müsst ihr euch ca. 2 Jahre nach dem ihr ein Zertifikat erhalten habt, darum kümmern, dass ihr ein neues Zertifikat bekommt. Am einfachsten geht das, in dem ihr einfach ein [[intern:schluesselvergabe|neues Zertifkat beantragt]].
  
 ====== Padlock mit HTTP Request Shortcuts App ====== ====== Padlock mit HTTP Request Shortcuts App ======
hackspace/infrastruktur/padlock.1678109904.txt.gz · Zuletzt geändert: von Lukas Ruge

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution 4.0 International