Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
admin:tasks:zertifikat [2019-01-14 14:13] mga [Zertifikatsantrag (.csr) erstellen] |
admin:tasks:zertifikat [2019-03-27 11:51] (aktuell) mga |
||
---|---|---|---|
Zeile 10: | Zeile 10: | ||
# OpenSSL configuration. | # OpenSSL configuration. | ||
# | # | ||
- | HOME = /home/_admin_/ssl/ssl_spd.ltsh.de/apache | + | HOME = <PUT-YOUR-LOCAL-PATH-HERE> |
- | RANDFILE = ::HOME/.rnd | + | RANDFILE = <PUT-YOUR-LOCAL-PATH-HERE>/.rnd |
[ ca ] | [ ca ] | ||
Zeile 189: | Zeile 189: | ||
<file> | <file> | ||
$ ./web_certreq <fqdn> | $ ./web_certreq <fqdn> | ||
+ | </file> | ||
+ | |||
+ | Die folgenden Fragen alle bestätigen. Achtung: bei "Common Name" den <fqdn> des Servers von Hand eingeben: | ||
+ | |||
+ | <file> | ||
+ | You are about to be asked to enter information that will be incorporated | ||
+ | into your certificate request. | ||
+ | What you are about to enter is what is called a Distinguished Name or a DN. | ||
+ | There are quite a few fields but you can leave some blank | ||
+ | For some fields there will be a default value, | ||
+ | If you enter '.', the field will be left blank. | ||
+ | ----- | ||
+ | Organization Name (company) [Christian-Albrechts-Universitaet zu Kiel]: | ||
+ | Organizational Unit Name (department, division) [Computer Science Institute]: | ||
+ | Email Address [ps-admin@informatik.uni-kiel.de]: | ||
+ | Locality Name (city, district) [Kiel]: | ||
+ | State or Province Name (full name) [Schleswig-Holstein]: | ||
+ | Country Name (2 letter code) [DE]: | ||
+ | Common Name (hostname, IP, or your name) [<host>.informatik.uni-kiel.de]:<fqdn> | ||
</file> | </file> | ||
Zeile 197: | Zeile 216: | ||
====== Zertifikatsantrag (.csr) beim DfN hochladen ====== | ====== Zertifikatsantrag (.csr) beim DfN hochladen ====== | ||
- | 1. Der Anleitung des CAU-RZ folgen: https://www.rz.uni-kiel.de/de/angebote/pki/serverzertifikate-erstellen-und-installieren | + | * Der Anleitung des CAU-RZ folgen: https://www.rz.uni-kiel.de/de/angebote/pki/serverzertifikate-erstellen-und-installieren |
- | 1. Zertifikatsantrag (.csr) beim DFN Hochladen: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage&name=index&RA_ID=4540 | + | * Zertifikatsantrag (.csr) beim DFN Hochladen: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage&name=index&RA_ID=4540 |
- | a. Klick auf Server-Zertifikat | + | - Klick auf Server-Zertifikat |
- | a. Die ''.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' | + | - Die ''<fqdn>.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' |
- | a. | + | - Zertifikatprofil: Webserver |
+ | - unter "Weitere Angaben" alles ausfüllen wir im Formular beschrieben | ||
+ | - die PIN notieren in der Datei ''<fqdn>.PIN'' (im gleichen Ordner wie die ''.csr'' Datei) | ||
+ | - Klick auf Button [ Weiter ] | ||
+ | * Zertifikatsantragsformular nochmals prüfen und dann bestätigen | ||
+ | * Zertifikatsantrag anzeigen. Ein PDF öffnet sich. Speichern und drucken. | ||
+ | * Gedrucktes PDF unterschreiben und in die Hauspost an Ulrich Schwarz. | ||
+ | |||
+ | ====== Warten ====== | ||
+ | |||
+ | Nach einigen Tagen erhält man das signierte Zertifikat per e-Mail an die Dienst-Adresse, die beim Zertifikatsantrag verwendet wird. | ||
+ | |||
+ | |||
+ | ====== Zertifikat ausrollen ====== | ||
+ | |||
+ | Das Zertifikat (.crt) muss dann auf dem Ziel-Server hinterlegt werden. Handelt es sich um eine Zertifikatsverlängerung, muss nur das neue Zertifikat ausgerollt werden. Handelt es sich um einen Neuantrag, dann muss Zertifikat und Key ausgerollt werden. | ||
+ | |||
+ | Der Installationsort liegt in der Arbeitsgruppe normalerweise unter /etc/<service>/ssl/. Die Key Datei muss mit Rechten ''0600'' ausgerollt werden. Das Zertifikat darf lesbar bleiben. | ||
+ | |||
+ | Achtung: da DFN-Zertifikate nicht direkt gegen ein Stammzertifikat signiert wurden, sondern gegen Intermediärzertifikate, muss man die Zertifikatskette an das Server-Zertifikat innerhalb der .crt Datei anhängen. Vergleiche: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=4540 (Klick auf "Zertifikatskette anzeigen"). | ||
+ | |||
+ | |||
+ | ====== Zertifikat verlängern ====== | ||
+ | |||
+ | Das DFN erinnert per Mail an Zertifikate, die zeitnah verlängert werden müssen. |