Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
admin:tasks:zertifikat [2019-01-14 14:14] mga [Zertifikatsantrag (.csr) beim DfN hochladen] |
admin:tasks:zertifikat [2019-03-27 11:51] (aktuell) mga |
||
---|---|---|---|
Zeile 10: | Zeile 10: | ||
# OpenSSL configuration. | # OpenSSL configuration. | ||
# | # | ||
- | HOME = /home/_admin_/ssl/ssl_spd.ltsh.de/apache | + | HOME = <PUT-YOUR-LOCAL-PATH-HERE> |
- | RANDFILE = ::HOME/.rnd | + | RANDFILE = <PUT-YOUR-LOCAL-PATH-HERE>/.rnd |
[ ca ] | [ ca ] | ||
Zeile 189: | Zeile 189: | ||
<file> | <file> | ||
$ ./web_certreq <fqdn> | $ ./web_certreq <fqdn> | ||
+ | </file> | ||
+ | |||
+ | Die folgenden Fragen alle bestätigen. Achtung: bei "Common Name" den <fqdn> des Servers von Hand eingeben: | ||
+ | |||
+ | <file> | ||
+ | You are about to be asked to enter information that will be incorporated | ||
+ | into your certificate request. | ||
+ | What you are about to enter is what is called a Distinguished Name or a DN. | ||
+ | There are quite a few fields but you can leave some blank | ||
+ | For some fields there will be a default value, | ||
+ | If you enter '.', the field will be left blank. | ||
+ | ----- | ||
+ | Organization Name (company) [Christian-Albrechts-Universitaet zu Kiel]: | ||
+ | Organizational Unit Name (department, division) [Computer Science Institute]: | ||
+ | Email Address [ps-admin@informatik.uni-kiel.de]: | ||
+ | Locality Name (city, district) [Kiel]: | ||
+ | State or Province Name (full name) [Schleswig-Holstein]: | ||
+ | Country Name (2 letter code) [DE]: | ||
+ | Common Name (hostname, IP, or your name) [<host>.informatik.uni-kiel.de]:<fqdn> | ||
</file> | </file> | ||
Zeile 201: | Zeile 220: | ||
- Klick auf Server-Zertifikat | - Klick auf Server-Zertifikat | ||
- Die ''<fqdn>.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' | - Die ''<fqdn>.csr'' Datei auswählen im Feld ''PKCS#10-Zertifikatantrag (PEM-formatierte Datei)'' | ||
- | - | + | - Zertifikatprofil: Webserver |
+ | - unter "Weitere Angaben" alles ausfüllen wir im Formular beschrieben | ||
+ | - die PIN notieren in der Datei ''<fqdn>.PIN'' (im gleichen Ordner wie die ''.csr'' Datei) | ||
+ | - Klick auf Button [ Weiter ] | ||
+ | * Zertifikatsantragsformular nochmals prüfen und dann bestätigen | ||
+ | * Zertifikatsantrag anzeigen. Ein PDF öffnet sich. Speichern und drucken. | ||
+ | * Gedrucktes PDF unterschreiben und in die Hauspost an Ulrich Schwarz. | ||
+ | |||
+ | ====== Warten ====== | ||
+ | |||
+ | Nach einigen Tagen erhält man das signierte Zertifikat per e-Mail an die Dienst-Adresse, die beim Zertifikatsantrag verwendet wird. | ||
+ | |||
+ | |||
+ | ====== Zertifikat ausrollen ====== | ||
+ | |||
+ | Das Zertifikat (.crt) muss dann auf dem Ziel-Server hinterlegt werden. Handelt es sich um eine Zertifikatsverlängerung, muss nur das neue Zertifikat ausgerollt werden. Handelt es sich um einen Neuantrag, dann muss Zertifikat und Key ausgerollt werden. | ||
+ | |||
+ | Der Installationsort liegt in der Arbeitsgruppe normalerweise unter /etc/<service>/ssl/. Die Key Datei muss mit Rechten ''0600'' ausgerollt werden. Das Zertifikat darf lesbar bleiben. | ||
+ | |||
+ | Achtung: da DFN-Zertifikate nicht direkt gegen ein Stammzertifikat signiert wurden, sondern gegen Intermediärzertifikate, muss man die Zertifikatskette an das Server-Zertifikat innerhalb der .crt Datei anhängen. Vergleiche: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=4540 (Klick auf "Zertifikatskette anzeigen"). | ||
+ | |||
+ | |||
+ | ====== Zertifikat verlängern ====== | ||
+ | |||
+ | Das DFN erinnert per Mail an Zertifikate, die zeitnah verlängert werden müssen. |