paedML® Novell - Landesmedienzentrum Baden

Beratung und Support
Technische Plattform
Support-Netz-Portal
paedML® – stabil und zuverlässig vernetzen
Update-Anleitung
Bald ablaufende oder bereits abgelaufene Zertifikate erneuern im GServer03 der
paedML-Novell 4.1
Stand 18.12.2015
paedML® Novell
Version: 4.1
Impressum
Herausgeber
Landesmedienzentrum Baden-Württemberg (LMZ)
Support-Netz
Rotenbergstraße 111
70190 Stuttgart
Autoren
der Zentralen Expertengruppe Netze (ZEN),
Support-Netz, LMZ
Hubert Bechtold
Stefan Falk
Ulrich Frei
Carl Heinz Gutjahr
Friedrich Heckmann
Uwe Labs
Alfred Wackler
Endredaktion
Wird von der Redaktion eingetragen.
Bildnachweis Titelbilder:
Thinkstock
Weitere Informationen
www.support-netz.de
www.lmz-bw.de
Änderungen und Irrtümer vorbehalten.
Veröffentlicht: 2015
Die Nutzung dieses Handbuches ist ausschließlich für eigene Zwecke zulässig. Die Nutzung sowie die
Weitergabe dieses Handbuches zu kommerziellen Zwecken wie z.B. Schulungen ist nur nach
ausdrücklicher Einwilligung durch das LMZ erlaubt.
© Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis
1.
Server-Zertifikat (GServer03) .............................................................. 4
1.1
Ablaufdatum feststellen .................................................................................................. 4
2.
Server-Zertifikat bearbeiten ................................................................ 5
2.1
2.2
2.3
Sicherungen ................................................................................................................... 5
Server-Zertifikat erneuern .............................................................................................. 6
Gekaufte vertrauenswürdige Zertifikate ....................................................................... 11
3.
eDirectory-Zertifikat........................................................................... 12
3.1
3.2
3.3
3.4
Ablaufdatum feststellen ................................................................................................ 12
ZCM-Zonenzertifikat (ZServer) .................................................................................... 13
Vorbereitung auf dem ZServer ..................................................................................... 14
eDirectory-Zertifikat erneuern ...................................................................................... 16
4.
Nacharbeiten im ZServer .................................................................. 19
5.
Schluss ............................................................................................... 22
Vorwort
Auf dem GServer03 der paedML-Novell 4.1 müssen zwei selbstsignierte Zertifikate erneuert werden.
Das Server-Zertifikat ist schon abgelaufen, das eDirectory-Zertifikat läuft am 7.5.2016 ab. In dieser
Anleitung wird beschrieben, wie diese Zertifikate zu erneuern sind.
1. Server-Zertifikat (GServer03)
1.1 Ablaufdatum feststellen
Sicher fragen Sie sich: Habe ich noch Zeit oder muss ich sofort tätig werden? Um diese Frage zu
beantworten, können Sie nachschauen, wann Ihre Zertifikate ablaufen:
Prüfen Sie zunächst, welches Ablaufdatum aktuell eingestellt ist. Öffnen Sie dazu YaST auf der
graphischen Oberfläche des GServer03, wählen links im Fenster Security and Users und danach rechts
CA Management. Klicken Sie rechts oben auf den Button Enter CA. Geben Sie das Passwort
cusauf2014 ein.  OK.
Klicken Sie nun zunächst auf den Reiter Description und notieren sich das Ablaufdatum bei Valid to,
was, sofern nicht Sie oder Ihr Händler die YaST_CA bei der Installation verändert haben, der 5.5.2024
sein sollte.
Abb. 1:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 4
Klicken Sie nun auf den Reiter Certificates und prüfen dort die Zeile Valid to. Dort steht, falls Sie oder Ihr
Händler bei der Installation nichts verändert haben, das Datum des bereits abgelaufenen Zertifikats
8.5.2015.
Abb. 2:
Sollte hier ein ausreichend langer Zeitraum stehen, z.B. weil dies bei der Installation der paedML-Novell4.1 bereits korrigiert wurde, so können Sie bei Kap. 3.3 fortfahren.
2. Server-Zertifikat bearbeiten
Liegt das Ablaufdatum, das Sie in Kap. 1.1 festgestellt haben, noch in weiter Ferne, so können Sie
dieses Kapitel überspringen und bei Kap.3.3 fortfahren.
2.1 Sicherungen
Sie sollten vom GServer03 ein Backup besitzen, z.B. ein mit Veeam erstelltes. Setzen Sie außerdem im
vSphere-Client für den GServer03 einen Snapshot, den Sie nach erfolgreicher Operation wieder löschen
können und sollten.
Sichern Sie außerdem zwei Zertifikatsdateien, insbesondere dann, wenn Sie gekaufte
vertrauenswürdige Zertifikate einsetzten, die in /etc/ssl/servercerts liegen, wie in den Anleitungen
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 5
Zertifikate-Anleitung oder Zertifikate2-BPZ-Novell-334 beschrieben. Öffnen Sie ein Terminalfenster und
geben Sie dort ein:
mkdir /root/certsic
cp –a /etc/ssl/servercerts/* /root/certsic
2.2 Server-Zertifikat erneuern
Standardmäßig wird in einem SLES die Ablaufzeit bei der Erneuerung des Zertifikates auf 1 Jahr
festgelegt. Dann müssten Sie jedoch bereits nach einem Jahr hier wieder tätig werden. Wir schlagen
daher vor, das Ablaufdatum auf das gleiche Datum (-1) zu setzen, wie das der YaST-CA. Da die
Eingabe leider in Tagen erfolgt, müssen wir für diesem Fall etwas rechnen. Im Standard des GServer03
der paedML-Novell 4.1 ist das Ablaufdatum der 05.05.2024. Von dem Tage an, an dem Sie diese
Prozedur durchführen („heute“), müssen wir wissen, wie viele Tage bis zum 05.05.2024 vergehen.
Das können wir leicht mit einem Kalenderrechner (z.B. http://www.topster.de/kalender/tagerechner.php )
herausfinden: Wäre z.B. heute der 05.01.2016, so würde der Kalenderrechner 3043 Tage liefern.
Bestimmen Sie also jetzt nach diesem Verfahren die genaue Tagesanzahl bis zum 5.5.2024.
(Nicht alle Kalenderrechner arbeiten exakt. Der Obige scheint aber zu stimmen!)
Löschen Sie nun das Server-Zertifikat über den Button Delete:
Abb. 3:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 6
Also  Delete  Continue
Und klicken Sie anschließen auf den Button Add und wählen Add Server Certificate. Geben Sie exakt
die im Bild zu sehenden Daten ein:
Abb. 4:
Dabei muss die E-Mail-Adresse zunächst in das Feld links neben dem Add-Button eingetragen und
dann mit diesem Add-Button übernommen werden.
 Next.
Im folgenden Fenster müssen Sie ein Passwort eingeben. Wir schlagen vor, dass Sie sich ein eigenes
Passwort wählen, dass Sie sich bitte gut merken.
Im Feld Valid Period (days) wird nun die oben errechnete Tagesanzahl, von der Sie 1 abziehen
müssen, eingetragen (die Zahl hier im Bild hier ist nur ein Beispiel!):
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 7
Abb. 5:
 Next.
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 8
Abb. 6:
 Create.
Erscheint hier ein Fehler, so haben Sie vermutlich zu viele Tage eingesetzt. Gehen Sie in diesem Fall
zurück, verringern um 1 und klicken erneut auf Create.
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 9
Abb. 7:
Wenn Sie gut gerechnet haben, ist das Ablaufdatum der 4.5.2024. Dieses Datum muss um mind. 1
weniger sein, als das CA-Ablaufdatum.
Klicken Sie nun auf den Button Export und wählen dann Export as Common Server Certificate, geben
das Passwort ein und bestätigen alles:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 10
Abb. 8:
Abb. 9:
 OK  Finish.
2.3 Gekaufte vertrauenswürdige Zertifikate
Hatten Sie Ihre vertrauenswürdigen Zertifikate in /etc/ssl/servercerts liegen, wie in den Anleitung
Zertifikate-Anleitung oder Zertifikate2-BPZ-Novell-334 beschrieben, müssen Sie diese aus der
Sicherung in Kap. 2.1 zurückkopieren und den Apache neu starten:
cp –a /root/certsic/* /etc/ssl/servercerts
rcapache2 restart
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 11
3. eDirectory-Zertifikat
3.1 Ablaufdatum feststellen
Öffnen Sie den iManager (egal, ob auf der graphischen Oberfläche des GServer03 oder auf einer
Arbeitsstation) und melden sich als admin an. Navigieren Sie zu Novell Certificate Access / Server
Certificates und klicken Sie auf SSL CertificateIP (oder SSL CertificateDNS). Dort können Sie das
Ablaufdatum einsehen:
Abb. 10:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 12
Abb. 11:
Sofern nicht Sie oder Ihr Händler etwas verändert haben, sollte hier das Ablaufdatum der 7.5.2016 sein.
We
Es ist auf jeden Fall wichtig, Zertifikate vor deren Ablauf zu erneuern, da sonst
schwerwiegende Störungen in der paedML-Novell auftreten können.
Wir empfehlen Ihnen, das Zertifikat ebenfalls jetzt zu erneuern.
3.2 ZCM-Zonenzertifikat (ZServer)
Beim Einloggen ins ZCC wird eine Warnung angezeigt, wenn die Restlaufzeit des eDirectory-Zertifikats
kleiner als 90 Tage ist.
Das ZCM-Zonenzertifikat der vom LMZ ausgelieferten ZServer hat aber noch eine Laufzeit bis
mindestens Januar 2021. Hier besteht also z.Z. kein Bedarf, ein neues Zertifikat zu erzeugen. Deshalb
verzichten wir hier auf eine Anleitung.
Wollen Sie trotzdem das Ablaufdatum nachprüfen. Ok, so geht’s:
Loggen Sie sich als admin auf einer Arbeitsstation ein und öffnen Sie eine DOS-Box. Geben Sie dort
folgenden Befehl ein:
zac cert-info
(oder auch zac ci)
Sie erhalten dann etwa folgende Ausgabe:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 13
Abb. 12:
3.3 Vorbereitung auf dem ZServer
Starten Sie auf einer Arbeitsstation (oder auf der graphischen Oberfläche des GServer03) einen
Browser und loggen sich im ZCC als Administrator ein.
Spätestens bevor Sie das eDirectory-Zertifikat erneuen (Kap. 3.4), führen Sie
die folgenden Schritte unbedingt und sorgfältig durch. Andernfalls riskieren
Sie den Verlust aller Beziehungen in Bundles, Richtlinien,...!
Um ganz sicherzugehen, legen Sie bitte vom ZServer unbedingt ein Snapshot
im vSphere-Client an. Auch ein Backup des ZServer (z.B. mit Veeam) ist
sinnvoll.
Navigieren Sie zu Konfiguration und scrollen Sie im rechten Fenster etwas herunter zum Abschnitt
Benutzerquellen. Klicken Sie dort auf SCHULBAUM03:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 14
Abb. 13:
Klicken Sie nun im Abschnitt Allgemein bei SSL verwenden auf Nein:
Abb. 14:
Das Ergebnis muss so aussehen:
Abb. 15:
Vergewissern Sie sich, dass alles korrekt ist!
Nach der Erneuerung der eDirectory-Zertifikate werden wir diese Einstellung wieder rückgängig machen
(siehe Kap.4).
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 15
3.4 eDirectory-Zertifikat erneuern
Vergewissern Sie sich, dass Sie die Arbeiten, die in Kap. 3.3 beschrieben
wurden, ausgeführt haben!
Öffnen Sie den iManager (egal, ob auf der graphischen Oberfläche des GServer03 oder auf einer
Arbeitsstation) und melden sich als admin an. Navigieren Sie zu Novell Certificate Server / Repair
Default Certificates und wählen Sie das Objekt gserver03 aus der OU Server.DIENSTE.ml3:
Abb. 16:
 Next.
Wählen Sie dann Yes All Default Certificates will be overwritten:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 16
Abb. 17:
 Next.
Es erfolgt eine Zusammenfassung:
Abb. 18:
 Finish,
gefolgt von einer Erfolgsmeldung:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 17
Abb. 19:
 Close.
Überprüfen können Sie das neue Ablaufdatum, das nun wieder in zwei Jahren erreicht wird, unter Novell
Certificate Access / Server Certificates. Klicken Sie dort z.B. auf SSL CertificateIP (oder/und eines der
anderen):
Abb. 20:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 18
Abb. 21:
Öffnen Sie jetzt noch ein Terminal-Fenster und geben ein:
namconfig –k
(geben Sie Ihr admin-Passwort ein)
nldap –u
nldap -l
Damit ist der Prozess abgeschlossen.
Ein Neustart des GServer03 ist nicht nötig, wir empfehlen ihn aber dennoch.
4. Nacharbeiten im ZServer
Das neue eDirectory-Zertifikat muss nun noch dem ZCM bekannt gemacht werden und die Verbindung
zum eDirectory muss wieder auf SSL gesetzt werden.
Starten Sie auf einer Arbeitsstation einen Browser und loggen sich im ZCC als Administrator ein. Falls
Sie ZCC noch von vorher offen haben, loggen Sie sich aus und melden Sie sich erneut an. Navigieren
Sie nun wieder zu Konfiguration und scrollen Sie im rechten Fenster etwas herunter zum Abschnitt
Benutzerquellen. Klicken Sie dort auf SCHULBAUM03:
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 19
Abb. 22:
Klicken Sie nun im Abschnitt Allgemein bei SSL verwenden auf Ja:
Abb. 23:
Es erscheint ein Fenster, das mit  OK bestätigt werden muss.
Abb. 24:
Gehen Sie danach in den Abschnitt Verbindungen und klicken auf SCHULBAUM03:
Abb. 25:
Dabei erscheint ein Fenster, in dem jetzt das neue Zertifikat bestätigt werden muss. Klicken Sie dazu
auf den Button Aktualisieren (bis die Umstellung wirksam wird, kann ein Augenblick vergehen):
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 20
Abb. 26:
(Die Zertifikatsdaten im Bild sind nur beispielhaft zu verstehen und sehen bei Ihnen etwas anders aus.)
Daraufhin erscheint ein Fenster mit Ihren neuen Zertifikatsdaten:
Abb. 27:
 OK.
Überprüfen Sie nun, ob die Verbindung zur Benutzerquelle erhalten geblieben ist.
Dies können Sie z.B. bei einem Bundle prüfen, bei dem bei den Beziehungen eine Benutzerzuweisung
eingetragen ist. Folgendes Bild zeigt dies beispielhaft für das Bundle SchulkonsoleW7 in Ihrer Schule.
Unter Benutzerzuweisung muss, wie in der folgenden Abbildung zu sehen, bei diesem Bundle Lehrer
eingetragen sein. Dann sind Benutzerquelle und die damit verbundenen Benutzerzuweisungen korrekt
erhalten geblieben.
(Im Fehlerfall würde hier unbekannte externe Referenz stehen).
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 21
Abb. 28:
5. Schluss
Die Snapshots von GServer03 und ZServer sollten Sie zeitnah wieder löschen. Ggf. können Sie auch
die Sicherheitskopie-Verzeichnisse /root/certsic löschen.
Erfreuen Sie sich nun an Ihren neuen Zertifikaten.
Viel Erfolg mit der paedML-Novell 4.1 wünscht Ihnen
Ihre ZEN-Novell.
paedML® Novell / Version: 4.1 / Update-Anleitung / Stand 18.12.2015
Seite 22
Landesmedienzentrum Baden-Württemberg (LMZ)
Support Netz
Rotenbergstraße 111
70190 Stuttgart
© Landesmedienzentrum Baden-Württemberg, 2015

Download Report