Eigener ACME Server

• step-ca erlaubt es einen eigenen ACME Server zu hosten
• die Software wurde von der Firma Smallstep entwickelt
• ACME-Client bots, die custom ACME Server benutzen können (wie z.B. acme.sh), sind so in der Lage Zertifikate von einen selbst gehosteten Server signieren zu lassen

Installation

• Es sind zwei Pakete erforderlich, um step-ca zu betreiben: step-cli und step-certificates
• Für Debian basierte Systeme wäre es:
• wget https://dl.smallstep.com/gh-release/certificates/gh-release-header/vXX.YY.ZZ/step-ca_XX.YY.ZZ_amd64.deb
• dpkg -i step-ca_XX.YY.ZZ_amd64.deb
• wget https://dl.smallstep.com/gh-release/cli/gh-release-header/v0.25.2/step-cli_0.25.2_amd64.deb
• dpkg -i step-cli_0.25.2_amd64.deb
• Der step-Dienst sollte unter einen dedizierten Nutzer laufen
• useradd -m -s /bin/bash step
• Ein systemd-Dienst kann angelegt werden, um das Starten, Überwachen und Stoppen zu vereinfachen
• vim /etc/systemd/system/step-ca.service

[Unit]
Description=step-ca
After=syslog.target network.target

[Service]
User=step
Group=step
ExecStart=/bin/sh -c '/bin/step-ca /home/step/.step/config/ca.json --password-file=/home/step/.step/pwd >> /var/log/step-ca/output.log 2>&1'
Type=simple
Restart=on-failure
RestartSec=10

[Install]
WantedBy=multi-user.target

Konfiguration

Zertifikat Signierung

Links

• https://blog.sean-wright.com/self-host-acme-server/
• https://github.com/smallstep/cli/releases
• https://github.com/smallstep/certificates/releases