Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
zertifikate:ssl-zert_fuer_dv-koord_kdd [2022/10/06 10:20] markanni [Zertifikatsantrag erzeugen] |
zertifikate:ssl-zert_fuer_dv-koord_kdd [2023/10/18 08:44] (aktuell) sanplacz [Zertifikat für Server beantragen] |
||
|---|---|---|---|
| Zeile 12: | Zeile 12: | ||
| - (Sie installieren ggf. openssl auf Ihrem Linux Server/Rechner nach). | - (Sie installieren ggf. openssl auf Ihrem Linux Server/Rechner nach). | ||
| - Sie generieren einen **Zertifikatsantrag** (certification request, certificat signing request (CSR)): | - Sie generieren einen **Zertifikatsantrag** (certification request, certificat signing request (CSR)): | ||
| - | * [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag und privaten Schlüssel erzeugen|Beim ersten Mal mit Erzeugung eines privaten Schlüssels]] | + | * [[zertifikate:ssl-zert_fuer_dv-koord_kdd#Zertifikatsantrag und privaten Schlüssel erzeugen|Beim ersten Mal mit Erzeugung eines privaten Schlüssels]] |
| - | * [[zertifikate:ssl-zert_fuer_dv-koord#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]] | + | * [[zertifikate:ssl-zert_fuer_dv-koord_kdd#Zertifikatsantrag ohne erneute Erzeugung eines privaten Schlüssel erzeugen|Bei Erneuerung eines bestehenden Zertifikats muss der private Schlüssel nicht neu erzeugt werden.]] |
| - | - Sie beantragen das Zertifikat über die Online-Schnittstelle für DV-Koordinatoren, deren Link sie im KDD finden (Login über SAML) | + | - Sie beantragen das Zertifikat über die Online-Schnittstelle für DV-Koordinatoren, deren Link sie im KDD finden (Login über SAML mit der persönlichen E-Mail-Adresse, bitte keinen Funktionsaccount oder dergleichen nutzen) |
| - | * **Email**: E-Mail-Adresse der antragstellenden Person, hierhin werden das Zertifikat und alle weiteren Informationen wie z.B. zum Ablaufen eines Zertifikates geschickt. Diese E-Mail-Adresse ist vorgegeben und darf nicht verändert werden. **<color #ed1c24>Wichtig!</color>** Bei **External Requester** bitte zusätzlich eine Gruppen-E-Mail-Adresse angeben. | + | * **Email**: Persönliche E-Mail-Adresse der antragstellenden Person, hierhin werden das Zertifikat und alle weiteren Informationen wie z.B. zum Ablaufen eines Zertifikates geschickt. Diese E-Mail-Adresse ist vorgegeben und darf nicht verändert werden. **<color #ed1c24>Wichtig!</color>** Bei **External Requester** bitte zusätzlich eine Gruppen-E-Mail-Adresse angeben. |
| * **Certificate Profile**: Hier ist die Auswahl auf das für alle Szenarien nutzbare Profil "OV MultiDomain" beschränkt. Wenn ein anderes Profil (Liste siehe unten) gewünscht wird, bitte eine Email mit dem CSR und den weiteren notwendigen Angaben (Gruppen-E-Mailadresse und Alternativnamen) an noc@tu-bs.de senden. | * **Certificate Profile**: Hier ist die Auswahl auf das für alle Szenarien nutzbare Profil "OV MultiDomain" beschränkt. Wenn ein anderes Profil (Liste siehe unten) gewünscht wird, bitte eine Email mit dem CSR und den weiteren notwendigen Angaben (Gruppen-E-Mailadresse und Alternativnamen) an noc@tu-bs.de senden. | ||
| * **Certificate Term**: Laufzeit des Zertifikates, die vorgegebene Spanne beträgt 1 Jahr | * **Certificate Term**: Laufzeit des Zertifikates, die vorgegebene Spanne beträgt 1 Jahr | ||
| Zeile 23: | Zeile 23: | ||
| * **Subject Alternative Names**: Weitere Namen des Servers. Hier sind auch Wildcard-Namen möglich. | * **Subject Alternative Names**: Weitere Namen des Servers. Hier sind auch Wildcard-Namen möglich. | ||
| * **Annual Renewal Passphrase** Dieses Passwort ist optional, es wird nicht benötigt für die automatische Verlängerung. Das Passwort ist nur notwendig, um das Zertifikat manuell über den Sectigo Support sperren oder erneuern zu lassen. Für die manuelle Erneuerung oder Sperrung eines Zertifikates durch eine handlungsberechtigte Person der Abteilung Netze ist das Passwort ebenfalls nicht notwendig. | * **Annual Renewal Passphrase** Dieses Passwort ist optional, es wird nicht benötigt für die automatische Verlängerung. Das Passwort ist nur notwendig, um das Zertifikat manuell über den Sectigo Support sperren oder erneuern zu lassen. Für die manuelle Erneuerung oder Sperrung eines Zertifikates durch eine handlungsberechtigte Person der Abteilung Netze ist das Passwort ebenfalls nicht notwendig. | ||
| - | * **<color #ed1c24>Wichtig!</color>** **External Requester** Hier bitte eine Gruppen-E-Mailadresse angeben, die idealerweise an ein Ticketsystem angeschlossen ist. An diese E-Mail-Adresse werden zusätzlich das Zertifikat und alle weiteren Informationen wie z.B. zum Ablaufen eines Zertifikates verschickt. | + | * **<color #ed1c24>Wichtig!</color>** **External Requester** Hier bitte eine Gruppen-E-Mailadresse angeben, die idealerweise an ein Ticketsystem angeschlossen ist. An diese E-Mail-Adresse werden zusätzlich das Zertifikat und alle weiteren Informationen wie z.B. zum Ablaufen eines Zertifikates verschickt. Bei dieser E-Mail-Adresse darf es sich nicht um eine persönliche E-Mail-Adresse handeln, sondern z.B. um einen Mailverteiler für die IT oder die Kontakt-E-Mail-Adresse des Instituts. Requester und External Requester dürfen nicht identisch sein. |
| - Durch Klick auf **Enroll** den Zertifikatsantrag abschicken | - Durch Klick auf **Enroll** den Zertifikatsantrag abschicken | ||
| - Es wird eine Email, dass ein Zertifikat beantragt worden ist, an die Email-Adresse der antragstellenden Person und an die Email-Adresse(n), die als External Requester angegeben worden sind, geschickt. Parallel dazu erscheint der Zertifikatsantrag zur Überprüfung durch eine handlungsberechtigte Person im Zertifikatsmanager. Ein weiteres Zutun der antragstellenden Person ist nicht notwendig. | - Es wird eine Email, dass ein Zertifikat beantragt worden ist, an die Email-Adresse der antragstellenden Person und an die Email-Adresse(n), die als External Requester angegeben worden sind, geschickt. Parallel dazu erscheint der Zertifikatsantrag zur Überprüfung durch eine handlungsberechtigte Person im Zertifikatsmanager. Ein weiteres Zutun der antragstellenden Person ist nicht notwendig. | ||
| Zeile 163: | Zeile 163: | ||
| ===== Installation eines Zertifikats für Apache ===== | ===== Installation eines Zertifikats für Apache ===== | ||
| Die Konfiguration der Zertifikate ist prinzipiell bei allen Apache-Installationen sehr ähnlich – hier wird nur grundlegend dargelegt, wie dies vorzunehmen ist. Für versionsspezifische Abweichungen konsultieren Sie bitte die Hilfe über die man-pages Ihrer Linux-Distribution. Folgende Dateien werden benötigt: | Die Konfiguration der Zertifikate ist prinzipiell bei allen Apache-Installationen sehr ähnlich – hier wird nur grundlegend dargelegt, wie dies vorzunehmen ist. Für versionsspezifische Abweichungen konsultieren Sie bitte die Hilfe über die man-pages Ihrer Linux-Distribution. Folgende Dateien werden benötigt: | ||
| - | * common_name_interm.cer: Diese Datei enthält alle "über" dem Server liegenden Zertifikate bis zum Root Zertifikat des Zertifikatanbieters. Einen Link zu dieser Zertifikatskette erhalten Sie sie mit der E-Mail, in der auch die Links zu verschiedenen Zertifikatsformaten enthalten sind (Betreff:"GÉANT TCS certificate information: //Common name ihres Servers//"). Bitte nutzen Sie dazu den vorletzten Link ("as Root/Intermediate(s) only, PEM encoded") in der E-Mail, die sie erhalten haben. | ||
| * common_name.pem: Die Zertifikatsdatei, die Sie von einem der Links in der E-Mail bezogen haben. Für Apache nutzen Sie bitten den zweiten Link in der E-Mail ("as Certificate (w/issuer after), PEM encoded"). | * common_name.pem: Die Zertifikatsdatei, die Sie von einem der Links in der E-Mail bezogen haben. Für Apache nutzen Sie bitten den zweiten Link in der E-Mail ("as Certificate (w/issuer after), PEM encoded"). | ||
| + | * common_name_interm.cer: Diese Datei enthält alle "über" dem Server liegenden Zertifikate bis zum Root Zertifikat des Zertifikatanbieters. Einen Link zu dieser Zertifikatskette erhalten Sie sie mit der E-Mail, in der auch die Links zu verschiedenen Zertifikatsformaten enthalten sind (Betreff:"GÉANT TCS certificate information: //Common name ihres Servers//"). Bitte nutzen Sie dazu den vorletzten Link ("as Root/Intermediate(s) only, PEM encoded") in der E-Mail, die sie erhalten haben. | ||
| * privkey.pem: Der private Schlüssel des Servers, den Sie zur Erstellung des Zertikatantrags (CSR) genutzt haben. | * privkey.pem: Der private Schlüssel des Servers, den Sie zur Erstellung des Zertikatantrags (CSR) genutzt haben. | ||
| Zeile 177: | Zeile 177: | ||
| - Starten Sie den Apache neu | - Starten Sie den Apache neu | ||
| - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles | - Besuchen Sie die Startseite Ihres Servers, kontrollieren Sie die Logfiles | ||
| + | |||
| + | ===== Installation eines Zertifikats für NGINX ===== | ||
| + | Folgen Sie prinzipiell den Anweisungen zur Installation bei Apache (siehe oben). Lediglich die Dateien, die Sie herunterladen müssen unterscheiden sich. | ||
| + | * common_name.cer: Eine Zertifikatsdatei nur für Ihren Server, die Sie von einem der Links in der E-Mail bezogen haben. Für NGINX nutzen Sie bitte den ersten Link in der E-Mail ("as Certificate only, PEM encoded"). | ||
| + | * common_name_interm.cer: Diese Datei enthält alle "über" dem Server liegenden Zertifikate vom Root Zertifikat des Zertifikatanbieters abwärts. Einen Link zu dieser Zertifikatskette erhalten Sie sie mit der E-Mail, in der auch die Links zu verschiedenen Zertifikatsformaten enthalten sind (Betreff:"GÉANT TCS certificate information: //Common name ihres Servers//"). Bitte nutzen Sie dazu den vorletzten Link ("as Root/Intermediate(s) only, PEM encoded") in der E-Mail, die sie erhalten haben. | ||
| + | * privkey.pem: Der private Schlüssel des Servers, den Sie zur Erstellung des Zertikatantrags (CSR) genutzt haben. | ||
| + | Fügen Sie nun die beiden erhaltenen Zertifikatsdateien mittels "cat" im Linux Terminal oder einem ähnlichen Programm zusammen: | ||
| + | |||
| + | cat common_name.cer common_name_interm.cer > common_name_cert_chain.cer | ||
| + | |||
| + | Bitte nutzen Sie zum Zusammenfügen der beiden Dateien keine Office-Programme, wie MS Office, Open Office oder Libre Office. | ||
| + | In Ihrer NGINX Konfigurationsdatei geben Sie nun den Pfad zu der neu erstellten Datei (common_name_cert_chain.cer) als SSL_CERTIFICATE_PATH und den Pfad zur privaten Schlüsseldatei Ihres Servers (privkey.pem) als SSL_KEY_PATH an. | ||
| ==== Installation eines Zertifikats (allgemein) ==== | ==== Installation eines Zertifikats (allgemein) ==== | ||
