Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
zertifikate:ssl-zert_fuer_dv-koord [2020/08/31 09:46] sebbille [Installation eines Zertifikats für Apache] |
zertifikate:ssl-zert_fuer_dv-koord [2023/02/20 12:50] sanplacz [Veraltet: SSL-Zertifikate beantragen] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== SSL-Zertifikate beantragen ====== | + | ====== Veraltet: SSL-Zertifikate beantragen ====== |
Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen, die SSL/TLS/HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen. | Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen, die SSL/TLS/HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen. | ||
Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden. | Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden. | ||
+ | <note warning>Zertifikatsanträge über diesen Weg werden nicht mehr angenommen. Bitte nutzen Sie ab sofort den neuen Weg direkt über den KDD. Die Anleitung finden sie [[zertifikate:ssl-zert_fuer_dv-koord_kdd|hier]].</note> | ||
<note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier: | <note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier: | ||
- | * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub]] | + | * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub]] Â |
+ | <note important>Dieser Link kann nur noch zum Sperren von Zertifikaten verwendet werden.</note> | ||
</note> | </note> | ||
====== Zertifikat für Server beantragen ====== | ====== Zertifikat für Server beantragen ====== | ||
Zeile 10: | Zeile 12: | ||
- Sie tragen einige Basisinformationen über den Server zusammen: | - Sie tragen einige Basisinformationen über den Server zusammen: | ||
* **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de, www .inst.tu-braunschweig.de | * **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de, www .inst.tu-braunschweig.de | ||
- | * **OU**: Das Attribut Organisational Unit enthält den [[https://www.tu-braunschweig.de/struktur/fakultaeten/institute|Namen Ihres Instituts]]. | ||
* **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt | * **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt | ||
* Vorgegebene Attribute, die Sie übernehmen müssen: | * Vorgegebene Attribute, die Sie übernehmen müssen: | ||
Zeile 23: | Zeile 24: | ||
* [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]] | * [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]] | ||
- Sie beantragen das Zertifikat über die | - Sie beantragen das Zertifikat über die | ||
- | * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub | Online-Schnittstelle für DV-Koordinatoren]] | + | * [[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3780/ | Online-Schnittstelle für DV-Koordinatoren]] |
+ | * Wählen Sie "Eigene CSR-Datei (PKCS#10) einreichen" | ||
* Füllen Sie das Online-Formular entsprechend aus. | * Füllen Sie das Online-Formular entsprechend aus. | ||
* Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch. | * Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch. | ||
* Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden. | * Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden. | ||
- | * Nach Absenden des Online-Formular wird ein PDF generiert. | + | * Nach Absenden des Online-Formular wird ein PDF generiert. Außerdem erhalten Sie noch mal eine Version des Zertifikatsantrags im Json-Format, die über ein Passwort gesichert wird. Diese können Sie verwenden, um das Zertifikat über die Schnittstelle herunterzuladen. Sie erhalten es in jedem Fall auch per E-Mail. |
* Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor. | * Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor. | ||
* Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor. | * Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor. | ||
- | * Das Zertifikat wird digital signiert und Ihnen per EMail zugestellt. | + | * Das Zertifikat wird digital signiert und Ihnen per EMail (an die im Formular angegebene Adresse) zugestellt. Alternativ können Sie es mit der abgespeicherten Antragsdatei und dem zugehörigen Passwort auch in der [[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3780/ | Schnittstelle]] herunterladen. Wählen Sie dazu "Zertifikat abholen". |
* Diese E-Mail enthält auch die **Seriennummer** für Rückfragen. | * Diese E-Mail enthält auch die **Seriennummer** für Rückfragen. | ||
- Sie installieren das Zertifikat auf dem Server | - Sie installieren das Zertifikat auf dem Server |