Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
admin:tasks:zertifikat [2019-01-14 14:11] mga [Zertifikatsantrag (.csr) erstellen] |
admin:tasks:zertifikat [2019-03-27 11:51] (aktuell) mga |
||
|---|---|---|---|
| Zeile 10: | Zeile 10: | ||
| # OpenSSL configuration. | # OpenSSL configuration. | ||
| # | # | ||
| - | HOME = /home/_admin_/ssl/ssl_spd.ltsh.de/apache | + | HOME = <PUT-YOUR-LOCAL-PATH-HERE> |
| - | RANDFILE = ::HOME/.rnd | + | RANDFILE = <PUT-YOUR-LOCAL-PATH-HERE>/.rnd |
| [ ca ] | [ ca ] | ||
| Zeile 155: | Zeile 155: | ||
| </file> | </file> | ||
| - | Dieses Skript benutzen: | + | Im selben Ordner, das Skript ''web_reqcert.sh'' anlegen und ausführbar machen: |
| <file> | <file> | ||
| Zeile 183: | Zeile 183: | ||
| -out "$base/${FQDNunderscores}.csr" | -out "$base/${FQDNunderscores}.csr" | ||
| fi | fi | ||
| + | </file> | ||
| + | |||
| + | Das Skript ausführen: | ||
| + | |||
| + | <file> | ||
| + | $ ./web_certreq <fqdn> | ||
| + | </file> | ||
| + | |||
| + | Die folgenden Fragen alle bestätigen. Achtung: bei "Common Name" den <fqdn> des Servers von Hand eingeben: | ||
| + | |||
| + | <file> | ||
| + | You are about to be asked to enter information that will be incorporated | ||
| + | into your certificate request. | ||
| + | What you are about to enter is what is called a Distinguished Name or a DN. | ||
| + | There are quite a few fields but you can leave some blank | ||
| + | For some fields there will be a default value, | ||
| + | If you enter '.', the field will be left blank. | ||
| + | ----- | ||
| + | Organization Name (company) [Christian-Albrechts-Universitaet zu Kiel]: | ||
| + | Organizational Unit Name (department, division) [Computer Science Institute]: | ||
| + | Email Address [ps-admin@informatik.uni-kiel.de]: | ||
| + | Locality Name (city, district) [Kiel]: | ||
| + | State or Province Name (full name) [Schleswig-Holstein]: | ||
| + | Country Name (2 letter code) [DE]: | ||
| + | Common Name (hostname, IP, or your name) [<host>.informatik.uni-kiel.de]:<fqdn> | ||
| </file> | </file> | ||
| Den entstehenden Key ''./private/<fqdn>.key'' gut aufbewahren (bzw. auf den Webserver kopieren). Der Key wird sich bei Verlängerungsanträgen nicht mehr ändern. Die Datei muss vorm Zugriff dritter geschützt werden. | Den entstehenden Key ''./private/<fqdn>.key'' gut aufbewahren (bzw. auf den Webserver kopieren). Der Key wird sich bei Verlängerungsanträgen nicht mehr ändern. Die Datei muss vorm Zugriff dritter geschützt werden. | ||
| - | Die entstehende ''.csr'' Datei (Certificate Signing Request) wird im folgenden Schritt benötigt. | + | Die entstehende ''<fqdn>.csr'' Datei (Certificate Signing Request) wird im folgenden Schritt benötigt. |
| ====== Zertifikatsantrag (.csr) beim DfN hochladen ====== | ====== Zertifikatsantrag (.csr) beim DfN hochladen ====== | ||
| - | 1. Der Anleitung des CAU-RZ folgen: https://www.rz.uni-kiel.de/de/angebote/pki/serverzertifikate-erstellen-und-installieren | + | * Der Anleitung des CAU-RZ folgen: https://www.rz.uni-kiel.de/de/angebote/pki/serverzertifikate-erstellen-und-installieren |
| - | 1. Zertifikatsantrag (.csr) beim DFN Hochladen: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage&name=index&RA_ID=4540 | + | * Zertifikatsantrag (.csr) beim DFN Hochladen: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage&name=index&RA_ID=4540 |
| - | a. Klick auf Server-Zertifikat | + | - Klick auf Server-Zertifikat |
| - | a. Die ''.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' | + | - Die ''<fqdn>.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' |
| - | a. | + | - Zertifikatprofil: Webserver |
| + | - unter "Weitere Angaben" alles ausfüllen wir im Formular beschrieben | ||
| + | - die PIN notieren in der Datei ''<fqdn>.PIN'' (im gleichen Ordner wie die ''.csr'' Datei) | ||
| + | - Klick auf Button [ Weiter ] | ||
| + | * Zertifikatsantragsformular nochmals prüfen und dann bestätigen | ||
| + | * Zertifikatsantrag anzeigen. Ein PDF öffnet sich. Speichern und drucken. | ||
| + | * Gedrucktes PDF unterschreiben und in die Hauspost an Ulrich Schwarz. | ||
| + | |||
| + | ====== Warten ====== | ||
| + | |||
| + | Nach einigen Tagen erhält man das signierte Zertifikat per e-Mail an die Dienst-Adresse, die beim Zertifikatsantrag verwendet wird. | ||
| + | |||
| + | |||
| + | ====== Zertifikat ausrollen ====== | ||
| + | |||
| + | Das Zertifikat (.crt) muss dann auf dem Ziel-Server hinterlegt werden. Handelt es sich um eine Zertifikatsverlängerung, muss nur das neue Zertifikat ausgerollt werden. Handelt es sich um einen Neuantrag, dann muss Zertifikat und Key ausgerollt werden. | ||
| + | |||
| + | Der Installationsort liegt in der Arbeitsgruppe normalerweise unter /etc/<service>/ssl/. Die Key Datei muss mit Rechten ''0600'' ausgerollt werden. Das Zertifikat darf lesbar bleiben. | ||
| + | |||
| + | Achtung: da DFN-Zertifikate nicht direkt gegen ein Stammzertifikat signiert wurden, sondern gegen Intermediärzertifikate, muss man die Zertifikatskette an das Server-Zertifikat innerhalb der .crt Datei anhängen. Vergleiche: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=4540 (Klick auf "Zertifikatskette anzeigen"). | ||
| + | |||
| + | |||
| + | ====== Zertifikat verlängern ====== | ||
| + | |||
| + | Das DFN erinnert per Mail an Zertifikate, die zeitnah verlängert werden müssen. | ||
