Das Osterprojekt dieses Jahr sollte sich mit EMail-Servern, Nameservern, DNSSEC und ACME (LetsEncrypt) beschäftigen- in Teil 1 berichtete ich über die Einrichtung eines authoritative DNS server für die diversen Server in meinem Docker-Zoo. Heute soll es um die Einrichtung eines lokalen ACME Servers für die automatisierte Verteilung von TLS-Serverzertifikaten unter dem Trust-Anchor der eigenen PKI gehen.

Ich suchte nach einer Möglichkeit, in meinem vom Internet getrennten lokalen Labornetz automatisch Zertifikate für Server zu erstellen und auszurollen. Bisher benutzte ich zur Herstellung von HTTPS-Verbindungen für meine diversen Server ein Wildcard-Zertifikat für das jeweilige Netz bzw. die jeweilige Domäne und ließ die Terminierung Traefik besorgen. Damit hatte ich beim Hinzufügen neuer Services nur minimalen Aufwand. Aber erstens sind Wildcard-Zertifikate inzwischen nicht mehr gern gesehen und außerdem gibt es ja seit einiger Zeit einen anderen Ansatz: ACME.

Eigentlich wollte ich die Woche Osterferien nutzen, diese RFC selbst zu implementieren - aber wie immer und bei allem, was auch nur entfernt mit Crypto zu tun hat sollte man vorher nachsehen, ob es nicht vielleicht etwas Fertiges, Erprobtes gibt, das man nachnutzen kann. Ich stieß bei meinen diesbezüglichen Recherchen auf Step-CA, eine Lösung, die man in einem Docker-Container erhält. Mein angepasstes docker-compose.yml sieht dabei wie folgt aus:

version: "2.1"
services:
  pairdrop:
    image: smallstep/step-ca
    container_name: letsencrypt
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
    ports:
      - 9099:9000
    restart: unless-stopped
    volumes:
      - ./step:/home/step
    environment:
      - DOCKER_STEPCA_INIT_NAME=Smallstep
      - DOCKER_STEPCA_INIT_DNS_NAMES=localhost,dockerhost.docker.lab,letsencrypt.docker.lab
      - DOCKER_STEPCA_INIT_REMOTE_MANAGEMENT=true

Damit lässt sich eine ACME-CA einrichten und betreiben, die allerdings nur Self-Signed Zertifikate ausstellt. Meine Aufgabe war also, herauszufinden wie man eigenes Cryptomaterial in die CA einbringen kann: ich habe bereits eine PKI in meinem Heimnetz und wollte den etablierten Vertrauensanker weiternutzen und nicht gezwungen sein, zwei PKIs parallel zu pflegen und zu betreiben - vor allem, da das das MAnagement der Vertrauensstellungen unnötig verkompliziert hätte.

Nachdem die Step-CA gestartet wurde muss man zunächst erst einmal einen ACME-Provisioner hinzufügen. Ich startete dafür einfach eine Shell im Container und erledigte die benötigten Arbeitsschritte dort. Man kann prinzipiell wie im verlinkten Artikel die JSON-Datei von Hand bearbeiten, ich empfehle jedoch dringend die zur Verfügung gestellten Werkzeuge zu benutzen. Im Prinzip kocht damit alles auf den einzelnen Befehl

step ca provisioner add acme --type ACME

zusammen. Anschließend kann man zunächst versuchen, auf den Link https://dockerhost.docker.lab:9099/acme/acme/directory zuzugreifen - man muss dabei noch dem Root-Zertifikat des Containers vertrauen, das eigene Cryptomaterial folgt im nächsten Schritt. Bereits jetzt kann man - zum Beispiel mittels certbot einen Server mit einem Zertifikat versorgen. Für nginx benutzte ich diesen Befehl:

REQUESTS_CA_BUNDLE=roots.pem certbot --nginx -d acmenginx --server https://dockerhost.docker.lab:9099/acme/acme/directory

Der Inhalt von roots.pem wird vorher mittels eines

wget --no-check-certificate https://dockerhost.docker.lab:9099/roots.pem

geholt: Wir haben nach wie vor nur die automatisch generierte PKI im Container, der wir erstmal nicht vertrauen... Anschließend ist HTTPS im nginx aktiviert und man kann damit darauf zugreifen, wird aber aus demselben Grund noch mit einer Warnung konfrontiert.

Alles, was jetzt noch getan werden muss, kann man auch bequem auf dem Docker-Server tun, da alle Dateien, die für die Benutzung eigenen Crypto-Materials geändert werden müssen komfortabel in einem Volume - dem Verzeichnis step neben docker-compose.yml - nach außen geführt wurden.

Dafür kann man der Anleitung hier folgen. Hinzufügen möchte ich nur, dass die Datei step/certs/intermediate_ca.crt von mir nicht nur mit dem Zertifikat befüllt wurde, sondern mit der kompletten Kette. Das sorgt dafür, dass die ausgestellten Serverzertifikate ebenfalls die komplette Kette enthalten, was die Analyse eventueller Trust-Probleme erheblich vereinfachen kann.

Et voila: ein ACME-Server zur automatisierten Verteilung von TLS-Serverzertifikaten unter der eigenen PKI!

Artikel, die hierher verlinken