Dies ist eine alte Version des Dokuments!
Erstellen eines DFN-signierten Zertifikates
Das Rechenzentrum kann Zitate ausstellen, die gegen die DFN-CA signiert sind und daher bspw. von Browsern ohne Nachfrage akzeptiert werden. Anschprechpartner ist Klaus Nielsen.
- Key erzeugen (http://www.openssl.org/docs/HOWTO/keys.txt) und gut aufbewahren!!
openssl genrsa -out privkey.pem 2048
- Zertifikats-Request erzeugen (http://www.openssl.org/docs/HOWTO/certificates.txt)
openssl req -new -key belair-ldap.pem -out belair-ldap.csr -subj '/C=DE/ST=Schleswig-Holstein/L=Kiel/O=Universitaet Kiel/OU=Institut fuer Informatik/CN=belair.informatik.uni-kiel.de'
- Die DN muss lauten: CN=rechnername.informatik.uni-kiel.de,OU=Institut fuer Informatik,O=Universitaet Kiel,L=Kiel,ST=Schleswig-Holstein,C=DE
- Zertifikat beantragen und Antrag von Herrn Hanus unterschreiben lassen
- Mit dem Antrag zu Klaus Nielsen und das Zertifikat beglaubigen lassen
- Das per Mail zugesandte Zertifikat installieren.
- Eventuell müssen die Stammzertifikate von Telekom und DFN noch installiert werden. Dafür müssen sie vom crt- ins pem-Format konvertiert werden, das kann openssl:
openssl x509 (?) -in XY.crt -inform ??? -out XY.pem -outform pem
- Dann die Stammzertifikate nach /etc/ssl/certs kopieren und wieder c_rehash aufrufen.
Erstellen eines selbstsignierten Zertifikates
- Gute Anleitung: http://www.tc.umn.edu/~brams006/selfsign.html
- Auf belair ist eine testca eingerichtet (/etc/ldap/ssl/testca)
- belairs slapd läuft mit einem gegen diese CA zertifizierten Zertifikat
- Das CA-Zertifikat muss auf die Lehrstuhlrechner nach /etc/ssl/certs kopiert werden, anschließend muss die Hashliste aktualisiert werden:
c_rehash
- Damit die ldap-utils das Zertifikat auch verwenden, in /etc/ldap.conf folgende Zeilen eintragen:
BASE dc=ps,dc=informatik,dc=uni-kiel,dc=de TLS_CACERTDIR /etc/ssl/certs