Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
zertifikate:ssl-zert_fuer_dv-koord [2019/07/01 14:10] tstrauf [OpenSSL Konfigurationsdatei] |
zertifikate:ssl-zert_fuer_dv-koord [2023/02/20 12:50] (aktuell) sanplacz [Veraltet: SSL-Zertifikate beantragen] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | ====== SSL-Zertifikate beantragen ====== | + | ====== Veraltet: SSL-Zertifikate beantragen ====== |
| Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen, die SSL/TLS/HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen. | Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen, die SSL/TLS/HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen. | ||
| Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden. | Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden. | ||
| + | <note warning>Zertifikatsanträge über diesen Weg werden nicht mehr angenommen. Bitte nutzen Sie ab sofort den neuen Weg direkt über den KDD. Die Anleitung finden sie [[zertifikate:ssl-zert_fuer_dv-koord_kdd|hier]].</note> | ||
| <note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier: | <note tip>Die Online-Schnittstelle für DV-Koordinatoren finden Sie hier: | ||
| - | * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub]] | + | * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub]] Â |
| + | <note important>Dieser Link kann nur noch zum Sperren von Zertifikaten verwendet werden.</note> | ||
| </note> | </note> | ||
| ====== Zertifikat für Server beantragen ====== | ====== Zertifikat für Server beantragen ====== | ||
| Zeile 10: | Zeile 12: | ||
| - Sie tragen einige Basisinformationen über den Server zusammen: | - Sie tragen einige Basisinformationen über den Server zusammen: | ||
| * **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de, www .inst.tu-braunschweig.de | * **CN**: Das Attibut Common Name enthält den DNS-Namen des Servers im Zertifikat. Beispiele: srv01.inst.tu-bs.de, www .inst.tu-braunschweig.de | ||
| - | * **OU**: Das Attribut Organisational Unit enthält den [[https://www.tu-braunschweig.de/struktur/fakultaeten/institute|Namen Ihres Instituts]]. | ||
| * **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt | * **E-Mail Adresse**: Für Kontakt & Zusendung Zertifikat benötigt | ||
| * Vorgegebene Attribute, die Sie übernehmen müssen: | * Vorgegebene Attribute, die Sie übernehmen müssen: | ||
| Zeile 23: | Zeile 24: | ||
| * [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]] | * [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]] | ||
| - Sie beantragen das Zertifikat über die | - Sie beantragen das Zertifikat über die | ||
| - | * [[https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub | Online-Schnittstelle für DV-Koordinatoren]] | + | * [[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3780/ | Online-Schnittstelle für DV-Koordinatoren]] |
| + | * Wählen Sie "Eigene CSR-Datei (PKCS#10) einreichen" | ||
| * Füllen Sie das Online-Formular entsprechend aus. | * Füllen Sie das Online-Formular entsprechend aus. | ||
| * Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch. | * Laden Sie auch die zuvor erzeugte Datei mit dem Zertifikatsantrag (CSR) hoch. | ||
| * Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden. | * Sie legen eine **Sperr-PIN** fest mit der Sie das Zertifikat später sperren können (insbes. bei Kompromittierung) Die Sperr-PIN hat Passwort-Charakter und muss sicher verwahrt werden. | ||
| - | * Nach Absenden des Online-Formular wird ein PDF generiert. | + | * Nach Absenden des Online-Formular wird ein PDF generiert. Außerdem erhalten Sie noch mal eine Version des Zertifikatsantrags im Json-Format, die über ein Passwort gesichert wird. Diese können Sie verwenden, um das Zertifikat über die Schnittstelle herunterzuladen. Sie erhalten es in jedem Fall auch per E-Mail. |
| * Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor. | * Das ausgedruckte und von Ihnen unterschriebene PDF mit dem Zertifikatsantrag legen Sie persönlich binnen von drei Wochen im IT-Service-Desk vor. | ||
| * Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor. | * Die Zertifizierungsrichtlinien schreiben eine persönliche Identifizierung mit einem gültigen, amtlichen Lichtbildausweis (vorzugsweise Personalausweis) vor. | ||
| - | * Das Zertifikat wird digital signiert und Ihnen per EMail zugestellt. | + | * Das Zertifikat wird digital signiert und Ihnen per EMail (an die im Formular angegebene Adresse) zugestellt. Alternativ können Sie es mit der abgespeicherten Antragsdatei und dem zugehörigen Passwort auch in der [[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3780/ | Schnittstelle]] herunterladen. Wählen Sie dazu "Zertifikat abholen". |
| * Diese E-Mail enthält auch die **Seriennummer** für Rückfragen. | * Diese E-Mail enthält auch die **Seriennummer** für Rückfragen. | ||
| - Sie installieren das Zertifikat auf dem Server | - Sie installieren das Zertifikat auf dem Server | ||
| Zeile 279: | Zeile 281: | ||
| - Starten Sie den Apache neu | - Starten Sie den Apache neu | ||
| - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles | - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles | ||
| + | |||
| + | ==== Installation eines Zertifikats (allgemein) ==== | ||
| + | Für die Konfiguration eines Zertifikates sollten Sie sich zuerst mit den Konfigurationsdateien Ihres Webservers vertraut machen. Diese finden Sie in der Regel unter // /etc/<Produkt>/ //. //(/etc/nginx, /etc/apache2, /etc/httpd, ...)// \\ | ||
| + | Welche Änderungen Sie zur Absicherung Ihres Webservers an Ihrer Konfigurationsdatei vornehmen müssen, können Sie im kostenlosen [[https://ssl-config.mozilla.org/|Konfigurationsgenerator]] von Mozilla sich anzeigen lassen. ([[https://ssl-config.mozilla.org/]]) \\ | ||
| + | Nachdem Sie im Konfigurationsgenerator Ihre Einstellungen ausgewählt haben, können Sie mit der angezeigte Konfiguration Ihre Webserver-Konfigurationsdatei anpassen. \\ | ||
| + | Die Webserver-Konfigurationsdatei finden Sie direkt in Ihrem Konfigurationsordner, meist werden auch hier Produktnamen als Dateinamen verwendet. //(apache2.conf, htttpd.conf, nginx.conf, ...)// \\ | ||
| + | Nach der Anpassung Ihrer Konfiguration sollten Sie die verwendeten Platzhalter //(/path/to/...)// an Ihre lokalen Gegebenheiten anpassen. \\ | ||
| + | Anschließend können Sie die Syntax Ihrer Konfiguration mit einem Test //(apachectl configtest , nginx -t , ...)// überprüfen und bei Erfolg den Webserver neu starten. \\ | ||
| + | |||
| ===== Skizze einer Beispielkonfiguration: vhost-ssl.conf ===== | ===== Skizze einer Beispielkonfiguration: vhost-ssl.conf ===== | ||
