Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Ãœberarbeitung
Nächste Überarbeitung
Vorhergehende Ãœberarbeitung
zertifikate:ssl-zert_fuer_dv-koord [2019/06/24 10:37]
pilawa [SSL-Zertifikate beantragen]
zertifikate:ssl-zert_fuer_dv-koord [2023/02/20 12:50] (aktuell)
sanplacz [Veraltet: SSL-Zertifikate beantragen]
Zeile 1: Zeile 1:
-====== SSL-Zertifikate beantragen ======+====== ​Veraltet: ​SSL-Zertifikate beantragen ======
 Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen,​ die SSL/​TLS/​HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen. Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen,​ die SSL/​TLS/​HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen.
 Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden. Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden.
 +<note warning>​Zertifikatsanträge über diesen Weg werden nicht mehr angenommen. Bitte nutzen Sie ab sofort den neuen Weg  direkt über den KDD. Die Anleitung finden sie [[zertifikate:​ssl-zert_fuer_dv-koord_kdd|hier]].</​note>​
 <note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier: <note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier:
-  * [[https://​pki.pca.dfn.de/​tu-braunschweig-ca-g2/​pub]]+  * [[https://​pki.pca.dfn.de/​tu-braunschweig-ca-g2/​pub]] ​ Â 
 +<note important>​Dieser Link kann nur noch zum Sperren von Zertifikaten verwendet werden.</​note>​
 </​note>​ </​note>​
 ====== Zertifikat für Server beantragen ====== ====== Zertifikat für Server beantragen ======
Zeile 10: Zeile 12:
   - Sie tragen einige Basisinformationen über den Server zusammen: ​   - Sie tragen einige Basisinformationen über den Server zusammen: ​
       * **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de,​ www .inst.tu-braunschweig.de       * **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de,​ www .inst.tu-braunschweig.de
-      * **OU**: Das Attribut Organisational Unit enthält den [[https://​www.tu-braunschweig.de/​struktur/​fakultaeten/​institute|Namen Ihres Instituts]]. 
       * **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt       * **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt
       * Vorgegebene Attribute, die Sie übernehmen müssen: ​       * Vorgegebene Attribute, die Sie übernehmen müssen: ​
Zeile 23: Zeile 24:
        * [[zertifikate:​ssl-zert_fuer_dv-koord#​Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]]        * [[zertifikate:​ssl-zert_fuer_dv-koord#​Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]]
   - Sie beantragen das Zertifikat über die    - Sie beantragen das Zertifikat über die 
-     * [[https://​pki.pca.dfn.de/​tu-braunschweig-ca-g2/pub | Online-Schnittstelle für DV-Koordinatoren]]+     * [[https://​pki.pca.dfn.de/​dfn-pki/dfn-ca-global-g2/3780/ | Online-Schnittstelle für DV-Koordinatoren]] 
 +     * Wählen Sie "​Eigene CSR-Datei (PKCS#10) einreichen"​
      * Füllen Sie das Online-Formular entsprechend aus.      * Füllen Sie das Online-Formular entsprechend aus.
      * Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch.      * Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch.
      * Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden.      * Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden.
-     * Nach Absenden des Online-Formular wird ein PDF generiert.+     * Nach Absenden des Online-Formular wird ein PDF generiert. Außerdem erhalten Sie noch mal eine Version des Zertifikatsantrags im Json-Format,​ die über ein Passwort gesichert wird. Diese können Sie verwenden, um das Zertifikat über die Schnittstelle herunterzuladen. Sie erhalten es in jedem Fall auch per E-Mail.
      * Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor.       * Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor. 
      * Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor.      * Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor.
-     * Das Zertifikat wird digital signiert und Ihnen per EMail zugestellt. ​+     * Das Zertifikat wird digital signiert und Ihnen per EMail (an die im Formular angegebene Adresse) ​zugestellt. Alternativ können Sie es mit der abgespeicherten Antragsdatei und dem zugehörigen Passwort auch in der [[https://​pki.pca.dfn.de/​dfn-pki/​dfn-ca-global-g2/​3780/​ | Schnittstelle]] herunterladen. Wählen Sie dazu "​Zertifikat abholen"​.
      * Diese E-Mail enthält auch die **Seriennummer** für Rückfragen.      * Diese E-Mail enthält auch die **Seriennummer** für Rückfragen.
   - Sie installieren das Zertifikat auf dem Server   - Sie installieren das Zertifikat auf dem Server
Zeile 133: Zeile 135:
    ... -config myopenssl.conf ...    ... -config myopenssl.conf ...
  
-Der Inhalt einer solchen Datei könnte ​wie folgt aussehen:+ 
 +=== (ohne Alternative DNS Names) === 
 + 
 +Sollte der Server nur über genau einen Hostnamen erreicht werden könnte der Inhalt einer solchen Datei wie folgt aussehen: 
 + 
 +<​file>​
   #   #
   # myopenssl.conf   # myopenssl.conf
Zeile 145: Zeile 152:
   attributes ​               = req_attributes   attributes ​               = req_attributes
   string_mask = nombstr   string_mask = nombstr
 +  req_extensions = v3_req
 +  ​
   [ req_distinguished_name ]   [ req_distinguished_name ]
   countryName = Laendername (bitte nicht aendern)   countryName = Laendername (bitte nicht aendern)
Zeile 177: Zeile 186:
   keyUsage = nonRepudiation,​ digitalSignature,​ keyEncipherment ​   keyUsage = nonRepudiation,​ digitalSignature,​ keyEncipherment ​
   ​   ​
 +</​file>​
 +
 +=== (mit Alternative DNS Names) ===
 +
 +Sollte der Server mehr als einen Namen (z.B. CNAMES/​Aliase) haben, so können/​sollten alle Namen entsprechend im Zertifikat hinterlegt werden. Zu diesem Zweck benutzen Sie bitte die folgende Konfigurationsdatei und ändern am Ende die Beispiel-Hostnamen unterhalb von "​[subject_alt_name]"​ in die Aliase um, über die der Server zusätzlich zum eigentlichen Hostnamen (wird bei der Erstellung des Zertifikatsantrags erfragt oder kann bei "​commonName"​ angegeben werden) noch erreicht werden soll. Außerdem können Sie weitere Namen in entsprechender Weise hinzufügen. ​
 +
 +<​file>​
 +
 +  #
 +  # myopenssl.conf
 +  #
 +  HOME                        = .
 +  RANDFILE ​               = $ENV::​HOME/​.rnd
 +  [ req ]
 +  default_bits ​               = 4096
 +  default_keyfile ​        = server-key.pem
 +  distinguished_name ​       = req_distinguished_name
 +  attributes ​               = req_attributes
 +  string_mask = nombstr
 +  req_extensions = v3_req
 +  ​
 +  [ req_distinguished_name ]
 +  countryName = Laendername (bitte nicht aendern)
 +  countryName_default = DE
 +  countryName_min = 2
 +  countryName_max = 2
 +  ​
 +  0.organizationName = Name der Organisation (bitte nicht aendern)
 +  0.organizationName_default = Technische Universitaet Braunschweig
 +  ​
 +  0.organizationalUnitName = Offizieller Einrichtungsname (ohne Umlaute)
 +  0.organizationalUnitName_default = 
 +  ​
 +  1.organizationalUnitName = Optional Abteilung oder AG im Institut
 +  1.organizationalUnitName_default =
 +  ​
 +  stateOrProvinceName = Bundesland (ausgeschrieben)
 +  stateOrProvinceName_default = Niedersachsen
 +  localityName = Locality Name - Stadt (Sitz der TU Braunschweig)
 +  localityName_default = Braunschweig
 +  ​
 +  commonName ​ = Voller DNS-Name unter dem der Service erreichbar ist
 +  commonName_max = 64
 +  ​
 +  emailAddress = Support E-Mail Adresse der Einrichtung (bevorzugt)
 +  emailAddress_max = 40
 +  emailAddress_default =
 +  ​
 +  [ req_attributes ]
 +  [ v3_req ]
 +  basicConstraints = CA:FALSE
 +  keyUsage = nonRepudiation,​ digitalSignature,​ keyEncipherment ​
 +  subjectAltName=@subject_alt_name
 +
 +  [ subject_alt_name ]
 +  DNS.1=*.tu-bs.de
 +  DNS.2=*.tu-braunschweig.de
 +
 +</​file>​
  
 ==== Zertifikat anzeigen ==== ==== Zertifikat anzeigen ====
Zeile 213: Zeile 281:
   - Starten Sie den Apache neu   - Starten Sie den Apache neu
   - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles   - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles
 +
 +==== Installation eines Zertifikats (allgemein) ====
 +Für die Konfiguration eines Zertifikates sollten Sie sich zuerst mit den Konfigurationsdateien Ihres Webservers vertraut machen. Diese finden Sie in der Regel unter // /​etc/<​Produkt>/​ //. //​(/​etc/​nginx,​ /​etc/​apache2,​ /etc/httpd, ...)// ​ \\
 +Welche Änderungen Sie zur Absicherung Ihres Webservers an Ihrer Konfigurationsdatei vornehmen müssen, können Sie im kostenlosen [[https://​ssl-config.mozilla.org/​|Konfigurationsgenerator]] von Mozilla sich anzeigen lassen. ([[https://​ssl-config.mozilla.org/​]]) ​ \\
 +Nachdem Sie im Konfigurationsgenerator Ihre Einstellungen ausgewählt haben, können Sie mit der angezeigte Konfiguration Ihre Webserver-Konfigurationsdatei anpassen. \\
 +Die Webserver-Konfigurationsdatei finden Sie direkt in Ihrem Konfigurationsordner,​ meist werden auch hier Produktnamen als Dateinamen verwendet. //​(apache2.conf,​ htttpd.conf,​ nginx.conf, ...)// ​ \\
 +Nach der Anpassung Ihrer Konfiguration sollten Sie die verwendeten Platzhalter //​(/​path/​to/​...)//​ an Ihre lokalen Gegebenheiten anpassen. ​ \\
 +Anschließend können Sie die Syntax Ihrer Konfiguration mit einem Test //​(apachectl configtest , nginx -t , ...)// überprüfen und bei Erfolg den Webserver neu starten. ​ \\
 +
  
 ===== Skizze einer Beispielkonfiguration:​ vhost-ssl.conf ===== ===== Skizze einer Beispielkonfiguration:​ vhost-ssl.conf =====
zertifikate/ssl-zert_fuer_dv-koord.1561365443.txt.gz · Zuletzt geändert: 2019/06/24 10:37 von pilawa
Gauß-IT-Zentrum