Univention-App-Highlights: SSL-Zertifikate für Univention Corporate Server mit Let’s Encrypt

Willkommen zur sechsten Ausgabe unserer UCS-App-Serie! Diesmal geht es um Let’s Encrypt, die weltweit größte Zertifizierungsstelle, die kostenlose SSL/TLS-Zertifikate anbietet. Mit der Let’s Encrypt-App im Univention App Center können Sie Ihre UCS-Dienste wie Apache, Postfix und Dovecot ganz einfach und automatisch verschlüsseln.

Bevor der Artikel zeigt, wie Sie mit der App die UCS-Dienste Apache, Postfix und Dovecot kinderleicht und automatisch absichern können, führt er in die Grundlagen ein: Warum sind HTTP und andere Klartext-Protokolle unsicher? Was genau ist SSL/TLS und wozu braucht man eine Zertifizierungsstelle (CA)? Kein technischer Papierkram, kein Stress – nur verständliche Erklärungen und ein paar Klicks, um Ihre digitale Kommunikation vor neugierigen Blicken zu schützen.

Stellen Sie sich vor, Sie verschicken eine Postkarte aus dem Urlaub in Schweden. Jeder, der sie unterwegs in die Hände bekommt, kann den Inhalt lesen. Genau so verhält es sich mit den Klartext-Protokollen HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol) und POP3 (Post Office Protocol). Daten, die über diese Protokolle verschickt werden, sind nicht besonders sicher unterwegs. Ein Angreifer könnte, ähnlich wie ein neugieriger Postbote, den Datenverkehr abfangen und lesen.

Es kommt sogar noch schlimmer: Böswillige Zeitgenossen könnten Nachrichten verändern, bevor sie beim Empfänger ankommen. Anstelle von freundlichen Grüßen aus Göteborg erhielte die blumengießende Nachbarin eine wüste Beschimpfung – weder Sie noch die Empfängerin würden die Manipulation bemerken, und die Freundschaft wäre dahin.

Genau hier kommt die verschlüsselte Kommunikation ins Spiel: Nutzen Sie HTTPS (Hypertext Transfer Protocol Secure) und andere sichere Protokolle wie SMTPS (Simple Mail Transfer Protocol Secure), IMAPS (IMAP over SSL) oder POP3S (SSL/TLS-Erweiterung für POP3), um Ihre Daten vor neugierigen Blicken und Manipulationen zu schützen. Nur die Dienste, die den Schlüssel zum Entschlüsseln haben, können die Nachrichten dann lesen.

SSL/TLS ist wie ein versiegelter Briefumschlag für digitale Nachrichten. Wenn die Kommunikation über diese verschlüsselte Transportschicht erfolgt, wird an den Protokollnamen ein „s“ angehängt: Aus HTTP wird HTTPS, aus SMTP wird SMTPS usw. Auch andere Protokolle lassen sich mit SSL verschlüsseln, z. B. FTPS (File Transfer Protocol Secure), LDAPS (Lightweight Directory Access Protocol Secure) usw. Die Verschlüsselung sorgt dafür, dass die ausgetauschten Daten sicher und privat bleiben. Selbst wenn jemand eine Nachricht unterwegs abfinge, könnte er sie nicht lesen.

Doch SSL/TLS geht noch einen Schritt weiter. Das Protokoll stellt sicher, dass Sie wirklich mit der adressierten Website bzw. dem Absender einer Mail kommunizieren – wie ein offizielles Siegel auf einem Umschlag bestätigt es die Echtheit des Absenders. Dazu werden sogenannte SSL/TLS-Zertifikate benutzt. Diese sind wie digitale Ausweise und stellen sicher, dass eine Website bzw. ein Kommunikationspartner echt und vertrauenswürdig ist. So können Sie sicher sein, dass Ihre Daten nicht nur verschlüsselt, sondern auch an den richtigen Empfänger verschickt werden.

SSL (Secure Sockets Layer) aus den frühen 1990er-Jahren war lange Zeit das bevorzugte Verschlüsselungs-Protokoll, bis es von TLS (Transport Layer Security) abgelöst wurde. TLS behebt diverse Schwachstellen im Vorgänger und ist heutzutage der Standard für sichere Internetverbindungen. TLS ist der direkte Nachfolger von SSL 3.0 und wurde 1999 eingeführt. Das Protokoll ist sicherer, flexibler und effizienter als der Vorgänger und in Version 1.3 (2018) heute der De-Facto-Standard, um Datenströme zwischen Client und Server zu verschlüsseln.

Interessanterweise ist die Abkürzung SSL immer noch bekannter und häufiger in Gebrauch als TLS, weshalb viele Anwendungen nach wie vor den Begriff SSL oder alternativ die Bezeichnung SSL/TLS verwenden. Gemeint ist aber meistens die aktuelle TLS-Version 1.3.

Mit den entsprechenden Werkzeugen kann jeder SSL-Zertifikate generieren; unter Linux und macOS kommt dazu beispielsweise die OpenSSL-Toolsammlung zum Einsatz. Damit sind die Zertifikate aber noch nicht offiziell anerkannt. Um selbstsignierte Zertifikaten als sicher für öffentliche Anwendungen und Websites zu kennzeichnen, braucht es eine Zertifizierungsstelle. Wie eine vertrauenswürdige Behörde, welche die Echtheit und Vertrauenswürdigkeit der Briefsiegel überprüft und bestätigt, garantiert eine CA die Echtheit der im SSL-Zertifikat gespeicherten Informationen.

Die Hauptaufgaben einer CA sind:

• Identität prüfen: Bevor ein SSL-Zertifikat ausgestellt wird, überprüft die CA die Identität des Antragstellers.
• Zertifikate ausstellen: Nach erfolgreicher Überprüfung stellt die CA das Zertifikat aus und signiert es digital. Dadurch ist es für andere als vertrauenswürdig erkennbar.
• Verwalten und widerrufen: Die CA verwaltet die ausgestellten Zertifikate und kann diese bei Bedarf widerrufen. Das ist z. B. dann sinnvoll, wenn ein Zertifikat kompromittiert wurde oder nicht mehr vertrauenswürdig ist.

Nicht jede Zertifizierungsstelle hat gleich viel zu melden: Es gibt unzählige CAs im Internet, die hierarchisch angeordnet sind und eine Vertrauenskette bilden. Auf der höchsten Ebene dient die Root-CA als Vertrauensanker. Zertifikate aller untergeordneten CAs sind von der Root-CA signiert, die Root-CA hat also die Identität und Vertrauenswürdigkeit der untergeordneten CAs bestätigt.

Wenn Sie beispielsweise im Browser eine Website öffnen, überprüft der Browser das Zertifikat und alle übergeordneten Zertifikate bis hin zur Root-CA. Diese ist als vertrauenswürdig eingestuft – die meisten Betriebssysteme und Browser akzeptieren sie. Der Webbrowser verfolgt die Vertrauenskette zurück, vom Endzertifikat über alle untergeordneten CAs bis hin zum Root-Zertifikat. Die Vertrauenskette muss vollständig sein, damit das Zertifikat als vertrauenswürdig angesehen wird.

Die meisten Webbrowser präsentieren für selbstsignierte Zertifikate eine Warnmeldung und erlauben das Hinzufügen von Ausnahmen. Für öffentlich aus dem Internet zugängliche Seiten ist das nicht nur schlecht für das Ansehen, sondern vor allem für die Sicherheit.

Auch Univention Corporate Server nutzt Zertifikate, um die Netzwerkkommunikation abzusichern und zu verschlüsseln – und zwar die zwischen den UCS-Systemen untereinander und die zwischen UCS-Rechnern und Endgeräten. Alle von Univention Corporate Server angebotenen Dienste, die SSL/TLS unterstützen, können damit verschlüsselt kommunizieren: der Verzeichnisdienst, der Mailserver, die Notifier/Listener, der Webserver usw.

Jeder UCS Primary Node wird automatisch als CA für die Domäne eingerichtet. Falls weitere UCS-Systeme zur Domäne hinzukommen, stellt die CA automatisch weitere Zertifikate aus. Für die interne Kommunikation ist das völlig ausreichend – was aber, wenn Dienste von außen erreichbar sein sollen? In dem Fall ersetzen Sie das selbstsignierte Zertifikat am besten durch eines, das von einer öffentlichen Zertifizierungsstelle ausgestellt wurde.

Vorhang auf für Let’s Encrypt, eine gemeinnützige Zertifizierungsstelle, die kostenlos SSL/TLS-Zertifikate anbietet: Sie will damit das gesamte Internet sicherer machen und Verschlüsselung im Web flächendeckend und zugänglich zu machen.

Was Let’s Encrypt besonders macht, ist der Fokus auf Automatisierung und Benutzerfreundlichkeit. Mithilfe des auf JSON und HTTPS basierenden ACME-Protokolls (Automatic Certificate Management Environment) können Zertifikate automatisch erstellt, validiert, installiert und erneuert werden. Administrator*innen müssen sich keine Sorgen über ablaufende SSL-Zertifikate machen, denn Let’s Encrypt kümmert sich um alles.

Die im App Center bereitgestellte Let’s-Encrypt-App integriert den Let’s-Encrypt-Client in UCS und sichert unter anderem den Apache Webserver, die Mailserver Postfix (SMTP) und Dovecot (IMAP) mit kostenlosen SSL-Zertifikaten ab. Der Installationsprozess ist unkompliziert und erfordert nur wenige Schritte:

1. 1. Suchen Sie im Univention App Center nach der Let’s Encrypt-App und installieren Sie sie auf Ihrem UCS-System.
   2. Tragen Sie in den App-Einstellungen im App Center die Domänen ein, für die Sie Zertifikate benötigen.
   3. Wählen Sie die unterstützten Dienste aus: Apache, Dovecot und Postfix.

Praktisch: Die App richtet einen Cronjob ein, der das Zertifikat alle 30 Tage automatisch aktualisiert. Dadurch ist sichergestellt, dass immer ein gültiges Zertifikat vorhanden ist, ohne dass Sie sich selbst darum kümmern müssen.

Nach einem Klick auf Installieren wählen Sie aus dem folgenden Dialog einen Rechner aus der Domäne aus, auf dem Sie Let’s Encrypt installieren möchten. Beachten Sie, dass der Rechner, auf dem die Let’s-Encrypt-App installiert wird, per HTTP aus dem Internet erreichbar sein muss, damit die Zertifikate erfolgreich ausgestellt und erneuert werden können.

Ein Klick auf Fortfahren installiert das Paket univention-letsencrypt. Danach blendet das App Center eine kurze Hilfeseite ein, die Tipps zur Einrichtung gibt. Nachdem Sie sichergestellt haben, dass das UCS-System über die gewünschte Domain aus dem Internet erreichbar ist, öffnen Sie die App-Einstellungen.

Konfigurieren Sie die gewünschte(n) Domäne(n); mehrere Einträge trennen Sie durch Kommata voneinander. Per Klick in die jeweiligen Checkbox aktivieren Sie die gewünschten Dienste und klicken abschließend auf Änderungen anwenden. Nach etwa 10 Sekunden zeigt der Konfigurationsdialog den Status an und verrät, ob das Zertifikat erfolgreich konfiguriert wurde.

Aktivieren Sie die Checkbox Verwende Let’s Encrypt Test-CA, um das Abrufen des Zertifikats und die Verifizierung der Domäne zu testen, ohne die Konfiguration der Dienste zu verändern. Nachdem Sie auf Änderungen speichern geklickt haben, kontaktiert die App den Staging-Endpunkt von Let’s Encrypt.

Im Erfolgsfall sehen Sie eine Meldung, dass es sich um ein für den Produktiveinsatz nicht geeignetes, ungültiges Zertifikat handelt. Wichtig: Aktivieren Sie keine zusätzlichen Dienste, die nicht explizit für die Verwendung mit Let’s Encrypt konfiguriert sind. Das Aktivieren nicht unterstützter Dienste kann dazu führen, dass diese nicht starten oder nicht ordnungsgemäß funktionieren. Diese Einschränkung dient dem Schutz der Systemstabilität und der korrekten Implementierung der Let’s Encrypt-Zertifikate. Sie können die Option wieder deaktivieren und erneut auf Änderungen speichern klicken, um den produktiven Endpunkt zu verwenden und somit ein gültiges Zertifikat zu erhalten.

Bei der ersten Einrichtung (nicht bei späteren Erneuerungen der Zertifikate) müssen Sie die jeweiligen Dienste neu starten. Dazu öffnen Sie das Modul Systemdienste in der Univention Management Console und suchen nach apache2, postfix und dovecot. Aktivieren Sie die Checkbox vor dem Namen und klicken auf NEUSTARTEN.

Damit alle in der UCS-Umgebung installierten Programme das neue Zertifikat als gültig erkennen, führen Sie einmalig einen Befehl auf der Kommandozeile aus. Öffnen Sie ein Terminal und geben Sie als Nutzer Root dieses Kommando ein:
update-ca-certificates

Sie können den Webserver so einrichten, dass er alle eingehenden HTTP-Verbindungen auf sichere HTTPS-Verbindungen umleitet. Öffnen Sie dazu in der UMC die Kachel System und dort die Univention Configuration Registry. Setzen Sie die Variable apache2/force_https auf yes. Die bereits gesetzten UCR-Variablen, deren Name mit apache2/force_https/exclude* beginnt, sollten Sie nicht verändern.

Diese legen Bedingungen für den lokalen Rechner und das Portal fest, unter denen keine verschlüsselte Verbindung erzwungen wird. Beachten Sie, dass Port 80 geöffnet bleiben muss, damit Let’s Encrypt das Zertifikat regelmäßig erneuern kann.

Das Let’s-Encrypt-Logfile finden Sie übrigens in der Datei /var/log/univention/letsencrypt.log. Die App protokolliert dort alle Aktionen.

Wie wichtig Verschlüsselung im Netz ist, kann gar nicht oft genug gesagt werden. Schützen Sie Ihre und andere Daten vor neugierigen Blicken und Manipulationen! Mit der Let’s-Encrypt-App im Univention App Center ist das alles im Handumdrehen erledigt. Die Installation und die Einrichtung sind benutzerfreundlich – so stellen Administrator*innen in kürzester Zeit sicher, dass Dienste wie Apache, Postfix und Dovecot stets mit gültigen SSL-Zertifikaten geschützt sind.

Haben Sie Fragen oder Anmerkungen? Hinterlassen Sie uns einen Kommentar und teilen Sie Ihre Erfahrungen und Ideen – hier im Blog oder im Forum Univention Help!

Bild-Quelle: Icon created by nangicon from flaticon.com