Das Rechenzentrum kann Zitate ausstellen, die gegen die DFN-CA signiert sind und daher bspw. von Browsern ohne Nachfrage akzeptiert werden. Anschprechpartner ist Ulrich Schwarz.

• Key erzeugen (http://www.openssl.org/docs/HOWTO/keys.txt) und gut aufbewahren!!

openssl genrsa -out privkey.pem 2048

• Zertifikats-Request erzeugen (http://www.openssl.org/docs/HOWTO/certificates.txt)

openssl req -new -key belair-ldap.pem -out belair-ldap.csr -subj '/C=DE/ST=Schleswig-Holstein/L=Kiel/O=Universitaet Kiel/OU=Institut fuer Informatik/CN=belair.informatik.uni-kiel.de'

• Die DN muss lauten: CN=rechnername.informatik.uni-kiel.de,OU=Institut fuer Informatik,O=Universitaet Kiel,L=Kiel,ST=Schleswig-Holstein,C=DE
• Zertifikat beantragen und Antrag von Herrn Hanus unterschreiben lassen
• Mit dem Antrag zu Klaus Nielsen und das Zertifikat beglaubigen lassen
• Das per Mail zugesandte Zertifikat installieren.

• Eventuell müssen die Stammzertifikate von Telekom und DFN noch installiert werden. Dafür müssen sie vom crt- ins pem-Format konvertiert werden, das kann openssl:

openssl x509 (?) -in XY.crt -inform ??? -out XY.pem -outform pem

• Dann die Stammzertifikate nach /etc/ssl/certs kopieren und wieder c_rehash aufrufen.

• Gute Anleitung: http://www.tc.umn.edu/~brams006/selfsign.html
• Auf belair ist eine testca eingerichtet (/etc/ldap/ssl/testca)
• belairs slapd läuft mit einem gegen diese CA zertifizierten Zertifikat
• Das CA-Zertifikat muss auf die Lehrstuhlrechner nach /etc/ssl/certs kopiert werden, anschließend muss die Hashliste aktualisiert werden:

c_rehash

• Damit die ldap-utils das Zertifikat auch verwenden, in /etc/ldap.conf folgende Zeilen eintragen:

BASE    dc=ps,dc=informatik,dc=uni-kiel,dc=de
TLS_CACERTDIR /etc/ssl/certs