Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
admin:tasks:zertifikat [2019-01-14 14:14] mga [Zertifikatsantrag (.csr) beim DfN hochladen] |
admin:tasks:zertifikat [2019-03-27 11:51] (aktuell) mga |
||
|---|---|---|---|
| Zeile 10: | Zeile 10: | ||
| # OpenSSL configuration. | # OpenSSL configuration. | ||
| # | # | ||
| - | HOME = /home/_admin_/ssl/ssl_spd.ltsh.de/apache | + | HOME = <PUT-YOUR-LOCAL-PATH-HERE> |
| - | RANDFILE = ::HOME/.rnd | + | RANDFILE = <PUT-YOUR-LOCAL-PATH-HERE>/.rnd |
| [ ca ] | [ ca ] | ||
| Zeile 189: | Zeile 189: | ||
| <file> | <file> | ||
| $ ./web_certreq <fqdn> | $ ./web_certreq <fqdn> | ||
| + | </file> | ||
| + | |||
| + | Die folgenden Fragen alle bestätigen. Achtung: bei "Common Name" den <fqdn> des Servers von Hand eingeben: | ||
| + | |||
| + | <file> | ||
| + | You are about to be asked to enter information that will be incorporated | ||
| + | into your certificate request. | ||
| + | What you are about to enter is what is called a Distinguished Name or a DN. | ||
| + | There are quite a few fields but you can leave some blank | ||
| + | For some fields there will be a default value, | ||
| + | If you enter '.', the field will be left blank. | ||
| + | ----- | ||
| + | Organization Name (company) [Christian-Albrechts-Universitaet zu Kiel]: | ||
| + | Organizational Unit Name (department, division) [Computer Science Institute]: | ||
| + | Email Address [ps-admin@informatik.uni-kiel.de]: | ||
| + | Locality Name (city, district) [Kiel]: | ||
| + | State or Province Name (full name) [Schleswig-Holstein]: | ||
| + | Country Name (2 letter code) [DE]: | ||
| + | Common Name (hostname, IP, or your name) [<host>.informatik.uni-kiel.de]:<fqdn> | ||
| </file> | </file> | ||
| Zeile 201: | Zeile 220: | ||
| - Klick auf Server-Zertifikat | - Klick auf Server-Zertifikat | ||
| - Die ''<fqdn>.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' | - Die ''<fqdn>.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' | ||
| - | - | + | - Zertifikatprofil: Webserver |
| + | - unter "Weitere Angaben" alles ausfüllen wir im Formular beschrieben | ||
| + | - die PIN notieren in der Datei ''<fqdn>.PIN'' (im gleichen Ordner wie die ''.csr'' Datei) | ||
| + | - Klick auf Button [ Weiter ] | ||
| + | * Zertifikatsantragsformular nochmals prüfen und dann bestätigen | ||
| + | * Zertifikatsantrag anzeigen. Ein PDF öffnet sich. Speichern und drucken. | ||
| + | * Gedrucktes PDF unterschreiben und in die Hauspost an Ulrich Schwarz. | ||
| + | |||
| + | ====== Warten ====== | ||
| + | |||
| + | Nach einigen Tagen erhält man das signierte Zertifikat per e-Mail an die Dienst-Adresse, die beim Zertifikatsantrag verwendet wird. | ||
| + | |||
| + | |||
| + | ====== Zertifikat ausrollen ====== | ||
| + | |||
| + | Das Zertifikat (.crt) muss dann auf dem Ziel-Server hinterlegt werden. Handelt es sich um eine Zertifikatsverlängerung, muss nur das neue Zertifikat ausgerollt werden. Handelt es sich um einen Neuantrag, dann muss Zertifikat und Key ausgerollt werden. | ||
| + | |||
| + | Der Installationsort liegt in der Arbeitsgruppe normalerweise unter /etc/<service>/ssl/. Die Key Datei muss mit Rechten ''0600'' ausgerollt werden. Das Zertifikat darf lesbar bleiben. | ||
| + | |||
| + | Achtung: da DFN-Zertifikate nicht direkt gegen ein Stammzertifikat signiert wurden, sondern gegen Intermediärzertifikate, muss man die Zertifikatskette an das Server-Zertifikat innerhalb der .crt Datei anhängen. Vergleiche: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=4540 (Klick auf "Zertifikatskette anzeigen"). | ||
| + | |||
| + | |||
| + | ====== Zertifikat verlängern ====== | ||
| + | |||
| + | Das DFN erinnert per Mail an Zertifikate, die zeitnah verlängert werden müssen. | ||
