Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:ssl-zert_fuer_dv-koord [2019/06/24 10:37]
pilawa [SSL-Zertifikate beantragen]
+++ zertifikate:ssl-zert_fuer_dv-koord [2023/02/20 12:48]
sanplacz [Veraltet: SSL-Zertifikate beantragen]
@@ Zeile 1: / Zeile 1: @@
-====== SSL-Zertifikate beantragen ======
+====== Veraltet: SSL-Zertifikate beantragen ======
 Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen, die SSL/TLS/HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen.
 Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden.
+<note warning>Zertifikatsanträge über diesen Weg werden nicht mehr angenommen. Bitte nutzen Sie ab sofort den neuen Weg  direkt über den KDD. Die Anleitung finden sie [[zertifikate:ssl-zert_fuer_dv-koord_kdd|hier]].</note>
 <note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier:
   * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub]]
@@ Zeile 10: / Zeile 11: @@
   - Sie tragen einige Basisinformationen über den Server zusammen:
       * **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de, www .inst.tu-braunschweig.de
-      * **OU**: Das Attribut Organisational Unit enthält den [[https://www.tu-braunschweig.de/struktur/fakultaeten/institute|Namen Ihres Instituts]].
       * **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt
       * Vorgegebene Attribute, die Sie übernehmen müssen:
@@ Zeile 23: / Zeile 23: @@
        * [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]]
   - Sie beantragen das Zertifikat über die
-     * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub | Online-Schnittstelle für DV-Koordinatoren]]
+     * [[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3780/ | Online-Schnittstelle für DV-Koordinatoren]]
+     * Wählen Sie "Eigene CSR-Datei (PKCS#10) einreichen"
      * Füllen Sie das Online-Formular entsprechend aus.
      * Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch.
      * Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden.
-     * Nach Absenden des Online-Formular wird ein PDF generiert.
+     * Nach Absenden des Online-Formular wird ein PDF generiert. Außerdem erhalten Sie noch mal eine Version des Zertifikatsantrags im Json-Format, die über ein Passwort gesichert wird. Diese können Sie verwenden, um das Zertifikat über die Schnittstelle herunterzuladen. Sie erhalten es in jedem Fall auch per E-Mail.
      * Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor.
      * Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor.
-     * Das Zertifikat wird digital signiert und Ihnen per EMail zugestellt.
+     * Das Zertifikat wird digital signiert und Ihnen per EMail (an die im Formular angegebene Adresse) zugestellt. Alternativ können Sie es mit der abgespeicherten Antragsdatei und dem zugehörigen Passwort auch in der [[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3780/ | Schnittstelle]] herunterladen. Wählen Sie dazu "Zertifikat abholen".
      * Diese E-Mail enthält auch die **Seriennummer** für Rückfragen.
   - Sie installieren das Zertifikat auf dem Server
@@ Zeile 133: / Zeile 134: @@
    ... -config myopenssl.conf ...
-Der Inhalt einer solchen Datei könnte wie folgt aussehen:
+=== (ohne Alternative DNS Names) ===
+Sollte der Server nur über genau einen Hostnamen erreicht werden könnte der Inhalt einer solchen Datei wie folgt aussehen:
+<file>
   #
   # myopenssl.conf
@@ Zeile 145: / Zeile 151: @@
   attributes                = req_attributes
   string_mask = nombstr
+  req_extensions = v3_req
   [ req_distinguished_name ]
   countryName = Laendername (bitte nicht aendern)
@@ Zeile 177: / Zeile 185: @@
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
+</file>
+=== (mit Alternative DNS Names) ===
+Sollte der Server mehr als einen Namen (z.B. CNAMES/Aliase) haben, so können/sollten alle Namen entsprechend im Zertifikat hinterlegt werden. Zu diesem Zweck benutzen Sie bitte die folgende Konfigurationsdatei und ändern am Ende die Beispiel-Hostnamen unterhalb von "[subject_alt_name]" in die Aliase um, über die der Server zusätzlich zum eigentlichen Hostnamen (wird bei der Erstellung des Zertifikatsantrags erfragt oder kann bei "commonName" angegeben werden) noch erreicht werden soll. Außerdem können Sie weitere Namen in entsprechender Weise hinzufügen.
+<file>
+  #
+  # myopenssl.conf
+  #
+  HOME                        = .
+  RANDFILE                = $ENV::HOME/.rnd
+  [ req ]
+  default_bits                = 4096
+  default_keyfile         = server-key.pem
+  distinguished_name        = req_distinguished_name
+  attributes                = req_attributes
+  string_mask = nombstr
+  req_extensions = v3_req
+  [ req_distinguished_name ]
+  countryName = Laendername (bitte nicht aendern)
+  countryName_default = DE
+  countryName_min = 2
+  countryName_max = 2
+.organizationName = Name der Organisation (bitte nicht aendern)
+.organizationName_default = Technische Universitaet Braunschweig
+.organizationalUnitName = Offizieller Einrichtungsname (ohne Umlaute)
+.organizationalUnitName_default =
+.organizationalUnitName = Optional Abteilung oder AG im Institut
+.organizationalUnitName_default =
+  stateOrProvinceName = Bundesland (ausgeschrieben)
+  stateOrProvinceName_default = Niedersachsen
+  localityName = Locality Name - Stadt (Sitz der TU Braunschweig)
+  localityName_default = Braunschweig
+  commonName  = Voller DNS-Name unter dem der Service erreichbar ist
+  commonName_max = 64
+  emailAddress = Support E-Mail Adresse der Einrichtung (bevorzugt)
+  emailAddress_max = 40
+  emailAddress_default =
+  [ req_attributes ]
+  [ v3_req ]
+  basicConstraints = CA:FALSE
+  keyUsage = nonRepudiation, digitalSignature, keyEncipherment
+  subjectAltName=@subject_alt_name
+  [ subject_alt_name ]
+  DNS.1=*.tu-bs.de
+  DNS.2=*.tu-braunschweig.de
+</file>
 ==== Zertifikat anzeigen ====
@@ Zeile 213: / Zeile 280: @@
   - Starten Sie den Apache neu
   - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles
+==== Installation eines Zertifikats (allgemein) ====
+Für die Konfiguration eines Zertifikates sollten Sie sich zuerst mit den Konfigurationsdateien Ihres Webservers vertraut machen. Diese finden Sie in der Regel unter // /etc/<Produkt>/ //. //(/etc/nginx, /etc/apache2, /etc/httpd, ...)//  \\
+Welche Änderungen Sie zur Absicherung Ihres Webservers an Ihrer Konfigurationsdatei vornehmen müssen, können Sie im kostenlosen [[https://ssl-config.mozilla.org/|Konfigurationsgenerator]] von Mozilla sich anzeigen lassen. ([[https://ssl-config.mozilla.org/]])  \\
+Nachdem Sie im Konfigurationsgenerator Ihre Einstellungen ausgewählt haben, können Sie mit der angezeigte Konfiguration Ihre Webserver-Konfigurationsdatei anpassen. \\
+Die Webserver-Konfigurationsdatei finden Sie direkt in Ihrem Konfigurationsordner, meist werden auch hier Produktnamen als Dateinamen verwendet. //(apache2.conf, htttpd.conf, nginx.conf, ...)//  \\
+Nach der Anpassung Ihrer Konfiguration sollten Sie die verwendeten Platzhalter //(/path/to/...)// an Ihre lokalen Gegebenheiten anpassen.  \\
+Anschließend können Sie die Syntax Ihrer Konfiguration mit einem Test //(apachectl configtest , nginx -t , ...)// überprüfen und bei Erfolg den Webserver neu starten.  \\
 ===== Skizze einer Beispielkonfiguration: vhost-ssl.conf =====

zertifikate/ssl-zert_fuer_dv-koord.txt · Zuletzt geändert: 2023/02/20 12:50 von sanplacz

Seite anzeigen Ältere Versionen

Medien-Manager Nach oben