Versions Compared

Old Version 9

changes.mady.by.user Talos-Zens Alexander

Saved on

compared with

New Version Current

changes.mady.by.user Talos-Zens Alexander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Wiki Markup
{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:800px;}
</style>{html}

Table of Contents
maxLevel3
minLevel2
typeflat

DCV-Automatisierung


Diese Seite beschreibt, wie an der Uni Wien die Domain Control Validation (DCV) im Rahmen des ACOnet-Zertifikats-Service (TCS) für SSL/TLS automatisiert wurde. Kommentare und Ergänzungen sind willkommen (vorzugsweise per mail an ~at).cert@aco.net).

Die hier gezeigte Lösung entspricht mit ganz wenigen Änderungen der, die bereits 2012 mit Comodo als TCS-Provider im Einsatz war.

(warning) Mit der Re-Validation bei Sectigo haben wir naturgemäß noch keine Erfahrungen.


Übersicht


Die Bestätigung des DCV-Challenges wurde an der Uni Wien automatisiert:

...

Als Mail-Adresse für DCV wird einheitlich die im übrigen völlig unbenötigte bei uns nicht benötigte Adresse administrator@domain eingesetzt.

...

An der Uni Wien werden alle TCS-berechtigten Domains über den zentralen Mailserver abgehandelt. Dadurch konnten diese Adressen einfach durch einen Wildcard-Virtualuser auf eine Zieladresse gemappt werden.

Um die Auswahl der DCV-Adresse im TCS-Portal etwas zu vereinfachen, wurden die Default-Adressen für alle domains in der "Customer Info" unter "Preferred DCV Addresses" eingetragenErfolgsentscheidend ist, dass als Kontakt für die DCV die Adresse administrator@domain angegeben wird (z.B. im API-Aufruf).



Procmail-Recipe (optional)

...

Code Block
DCV_ADMIN=dcv-c@meine.domain.example
DCV=$HOME/bin/dcv-automatik
OUTF=$HOME/dcv-automatik.log
P=$$

###### DCV
#
# DCV-Challenge --> dcv-automatik
# stdout/stderr --> dcv-automatik.log
#
# Bei Fehler zusaetzlich: 
#   stdout/stderr --> dcv-automatik.$$ 
#   Notification-Mail an dcv-c
#
# Offenbar hat Comodo unterschiedliche Templates fuer CSRs mit einer oder
# mehreren Domains. Leider sind dabei Subject und From verschieden.
#
# DCV verwendet folgende Subjects: 
#  ORDER #12345678 - Domain Control Validation for blibla.example
#  Demonstrate domain control and approve 2 domains for SSL/TLS certificate 
#    order #12345678
#
# DCV verwendet(e) folgende Froms: 
#  <docs@comodo\.com>
#  <noreply@trust<noreply_support@trust-provider.com>
#  <noreply_support@comodo.com>
#
:0 iw
* Subject: (Demonstrate domain control and approve .* domains for SSL/TLS|\
            ORDER #[0-9]+ - Domain Control Validation for)
* From: .* (<noreply@trust<noreply_support@comodo.com>|<noreply_support@trust-provider.com>|<docs@comodo\.com>) 
| set -o pipefail ; $DCV 2>&1  | tee $OUTF.$P >> $OUTF && rm -f $OUTF.$P

:0 e
| (cat $OUTF.$P ; echo ======= ; cat ) | mail -s "$DCV failed $P" $DCV_ADMIN
#
######

...