Humboldt-Universität zu Berlin - Computer- und Medienservice

Humboldt-Universität zu Berlin | Computer- und Medienservice | Dienstleistungen | Systemservice | Datenbankservice | Aktuelles 2022: Zertifikatswechsel aller Datenbankserver

Aktuelles 2022: Zertifikatswechsel aller Datenbankserver

Kurzzusammenfassung

  • wir werden am 05.10.2022 die Zertifikate auf allen Datenbankservern (pgdb, mydb, pgblob, myblob) auswechseln
  • dabei werden wir erstmalig Zertifikate einer neuen Zertifizierungsstelle verwenden
  • Nutzer, die verschlüsselt auf die DB-Server zugreifen und dabei das Serverzertifikat gegen eine bei sich hinterlegte Zertifikatskette prüfen, müssen daher letztgenannte Kette bei sich durch eine neue ersetzen

Bin ich überhaupt betroffen?

  • folgende Nutzergruppen sind prinzipbedingt nicht betroffen
    • Nutzer, die unverschlüsselt aus dem CMS-Netz auf den Datenbankserver zugreifen - dies beinhaltet fast alle Webauftritte auf www2/www3
    • Nutzer, die verschlüsselt auf die Datenbankserver zugreifen, aber das Serverzertifikat nicht prüfen - bei den meisten verschlüsselnden Datenbankclients der Standardfall
  • wenn sie bisher noch nie unsere bisherige Zertifikatskette bewusst irgendwo hinterlegt haben, sind sie mit sehr hoher Wahrscheinlichkeit nicht betroffen
  • reine Nutzer unserer Webclients (adminer, phpmyadmin, phppgadmin) müssen ebenfalls nichts tun

Ich bin betroffen, was nun?

  • folgende Chains stehen als Download zur Verfügung
    chain-old.pem die alte Zertifikatskette funktioniert bis zum Serverzertifikatswechsel
    chain-new.pem die neue Zertifikatskette funktioniert ab dem Serverzertifikatswechsel
    chain-super.pem eine "Super"-Zertifikatskette, die die alte und die Zertifikatskette enthält sollte vor und nach dem Serverzertifikatswechsel funktionieren
  • im Prinzip muss an der Stelle, wo unsere bisherige Zertifikatskette hinterlegt wurde, diese durch eine neue Zertifikatskette ersetzt werden
    • empfohlene Herangehensweise: wenn der Client die Superzertifikatskette akzeptiert, kann diese irgendwann vor dem Serverzertifikatswechsel eingebaut werden, da der Client damit sowohl das alte als auch das neue Serverzertifikat akzeptiert
    • ansonsten muss die Zertifikatskette am Tag des Serverzertifikatswechsels ausgetauscht werden, da der Client nur mit der alten Zertifikatskette das alte Serverzertifikat und nur mit der neuen Zertifikatskette das neue Serverzertifikat akzeptiert
  • je nach Client muss selbiger nach dem Wechsel der Zertifikatskette neu gestartet oder aber lediglich die Datenbankverbindung neu hergestellt werden