Diese Seite richtet sich an DV-Koordinatoren von Instituten und Einrichtungen, die SSL/TLS/HTTPS-Zertifikate (nach dem X.509-Standard) für den Betrieb von Servern benötigen. Die TU Braunschweig setzt Zertifikate aus der DFN-PKI ein. Diese sind für den dienstlichen Einsatz vorgesehen und können kostenfrei beantragt werden.
Wurzelzertifikate
Um ein Zertifikat für einen Server zu beantragen, müssen folgende Arbeitsschritte durchgeführt werden:
Das CN-Attribut ist das wichtigste Attribut im Zertifikat. Es muss den vollständigen Namen des Servers beinhalten. Gemeint ist dabei der vollständige Servername mit Domainangabe (FQDN, „fully qualified domain name“). Dieser ist beispielsweise im KDD nachzuschlagen oder mit den Kommandos nslookup bzw. host per DNS abzufragen. Es ist außerdem möglich, dass der Name gesetzt wird, unter dem der Dienst im Netz erreichbar sein soll (Stichworte „DNS-Alias“, „Virtual Host“). In der Regel werden allerdings Namen, unter denen der Dienst im Netz erreichbar sein soll, nicht als CN über den FQDN angegeben, sondern über sog. alternative Attribute (Subject Alternative Name, SAN).
Beispiel FQDN zur Verwendung als CN-Attribut: server01.inst.misc.tu-bs.de Beispiel alternatives Attribut (vom Typ DNS): www.institutsname.tu-bs.de CN-Attribute müssen zwingend auf eine der auf die TU Braunschweig registrierten Domains tu-bs.de„ oder tu-braunschweig.de enden.
Der folgende Abschnitt beschreibt Details zur Erzeugung von privatem Schlüssel und Zertifikatsantrag.
Wenn Sie noch kein SSL auf Ihrem Server einsetzen, verfahren Sie bitte, wie im Folgenden beschrieben. Zertifikatsanträge müssen in einem maschinell verarbeitbaren Format bei der RA eingereicht werden, dem Public Key Cryptography Standard Nr 10, PKCS#10, und werden bei Verwendung eines geeigneten Werkzeuges automatisch erstellt. Der Zertifikatsantrag setzt sich aus 4 Teilen zusammen:
Insbesondere wenn Sie mehrere Zertifikate beantragen, sollten Sie sich beispielsweise eine Konfigurationsdatei für OpenSSL erstellen, in der die wesentlichen Angaben bereits enthalten sind. Im Unterabschnitt „OpenSSL-Konfigurationsdatei“ ist ein Beispiel angegeben.
Zertifikate für einen Windows-Dienst erstellen Sie am besten mit Unterstützung dieses Supportartikels (D307267) von Microsoft.
Falls Sie Ihren Dienst bisher ohne Zertifikat betreiben, müssen Sie ein entsprechendes Schlüsselpaar nach dem RSAVerfahren erzeugen. Das folgende openssl-Kommando führt die Schlüsselgenerierung, die Abfrage eines Passwortes für diesen Schlüssel, die Attribut-Abfrage und die anschliessende Erstellung des Zertifikatsantrages durch:
openssl req -config myopenssl.conf -newkey rsa:4096 -outform pem -out certreq.pem
Die einzelnen Befehlsteile bedeuten folgendes:
Setzen Sie bereits SSL auf Ihrem Server ein und möchten Sie den dafür verwendeten private key weiter verwenden, so erzeugen Sie den Zertifikatsrequest wie in diesem Abschnitt beschrieben.
Läuft der Dienst mit einem selbst signierten Zertifikat und haben Sie bereits einen RSA-Schlüssel erstellt mit einer Länge von 2048 Bit, können Sie diesen Schlüssel für Ihr neues Zertifikat weiter verwenden. Mit folgendem Kommando kann dann eine Zertifizierungsanfrage für den vorhandenen Key (server.key) erstellt werden:
openssl req -new -config myopenssl.conf -key server-key.pem -keyform PEM -outform pem -out certreq.pem
Mit -keyform PEM bzw. -keyform DER sollten Sie das Format des vorhandenen Schlüssels berücksichtigen.
Beachten Sie bitte auch, dass Sie den Dienst den Sie mit dem so beantragten Zertifikat ausstatten, beim Start/Neustart stets die Angabe der Passphrase erfordert. Um einen Dienst auch ohne manuelle Eingabe der Passphrase starten zu können, muss man ggf. auf die Passphrase verzichten. Für den Betrieb von Diensten, die auch nach einem ungeplanten Neustart des Servers (z.B. Stromausfall, Softwarefehler) sofort und ohne manuelle Intervention erreichbar sein sollen, muss die Passphrase entfernt werden. Darüber hinaus setzen manche Produkte voraus, dass man zuvor die Passphrase entfernt.
Das Entfernen der Passphrase ist kritisch und aus Sicht der IT-Sicherheit nicht empfehlenswert. Das Zertifikat auf dem Server ist dann ungeschützt hinterlegt und kann bei einer Kompromittierung des Servers besonders einfach kopiert und für Angriffe genutzt werden. Grundsätzlich - ob mit oder ohne Passphrase - gilt: Sollte der Server gehackt werden, so ist das Zertifikat samt private key nicht mehr vertrauenswürdig. Das Zertifikat muss dann umgehend gesperrt werden. Sie müssen in einem solchen Fall sowohl einen neuen private key generieren, als auch ein neues Zertifikat beantragen.
Das Entfernen der Passphrase kann man mit dem folgenden Kommando durchgeführt werden:
openssl rsa -in server-key.pem -out server-key_nopass.pem
In Abhängigkeit von der Version von OpenSSL kann die genaue Kommandosyntax leicht abweichen.
In manchen der zuvor aufgeführten Kommandos wird eine Konfigurationsdatei referenziert:
... -config myopenssl.conf ...
Sollte der Server nur über genau einen Hostnamen erreicht werden, könnte der Inhalt einer solchen Datei wie hier beschrieben aussehen.
Sollte der Server mehr als einen Namen (z.B. CNAMES/Aliase) haben, so können/sollten alle Namen entsprechend im Zertifikat hinterlegt werden. Zu diesem Zweck benutzen Sie bitte das Eingabefeld „Subject Alternative Names“ des Webformulars wie oben beschrieben.
Alternativ, aber aufwendiger, lassen sich die Alternativnamen auch über die Konfigurationsdatei angeben. Dazu ändern Sie, wie hier beschrieben, am Ende die Beispiel-Hostnamen unterhalb von “[subject_alt_name]„ in die Aliase um, über die der Server zusätzlich zum eigentlichen Hostnamen (wird bei der Erstellung des Zertifikatsantrags erfragt oder kann bei „commonName“ angegeben werden) noch erreicht werden soll. Außerdem können Sie weitere Namen in entsprechender Weise hinzufügen.
Der Datei, die Sie per E-Mail aus der CA zugesendet bekommen, können Sie die in ihr enthaltenen Informationen nicht ansehen. Um die Zertifikatsinformationen einer Zertifikatsdatei anzeigen zu können, verwenden Sie:
openssl x509 -text -noout -in server-crt.pem
Durch die Beantragung des Zertifikates akzeptieren Sie Handlungsanweisungen, dass Sie Zertifikate bei Bedarf auch wieder sperren. Gründe für eine Sperrung könnten sein:
Durch die Sperrung eines Zertifikats wird dessen eindeutige Seriennummer auf einer Sperrliste/Widerrufsliste (certificate revocation list, CRL) veröffentlicht. Bezüglich der Umsetzung der Sperrung von Zertifikaten bei Clients ist zur Zeit in manchen Fällen noch einiges im Argen. Im Idealfall ist bei einem gesperrten Zertifikat die weitere Verwendung des Zertifikates aufgrund der Prüfung der Sperrliste seitens der Clients verhindert.
Die Sperrung eines Zertifikats lässt sich nicht rückgängig machen. Sollte ein Zertifikat irrtümlich gesperrt worden sein, müssen Sie ein neues Zertifikat beantragen.
Für die Durchführung einer Sperrung gibt es drei Möglichkeiten:
Die Konfiguration der Zertifikate ist prinzipiell bei allen Apache-Installationen sehr ähnlich – hier wird nur grundlegend dargelegt, wie dies vorzunehmen ist. Für versionsspezifische Abweichungen konsultieren Sie bitte die Hilfe über die man-pages Ihrer Linux-Distribution. Folgende Dateien werden benötigt:
Zur Installation sind die folgenden Schritte nötig:
Folgen Sie prinzipiell den Anweisungen zur Installation bei Apache (siehe oben). Lediglich die Dateien, die Sie herunterladen müssen unterscheiden sich.
Fügen Sie nun die beiden erhaltenen Zertifikatsdateien mittels „cat“ im Linux Terminal oder einem ähnlichen Programm zusammen:
cat common_name.cer common_name_interm.cer > common_name_cert_chain.cer
Bitte nutzen Sie zum Zusammenfügen der beiden Dateien keine Office-Programme, wie MS Office, Open Office oder Libre Office. In Ihrer NGINX Konfigurationsdatei geben Sie nun den Pfad zu der neu erstellten Datei (common_name_cert_chain.cer) als SSL_CERTIFICATE_PATH und den Pfad zur privaten Schlüsseldatei Ihres Servers (privkey.pem) als SSL_KEY_PATH an.
Für die Konfiguration eines Zertifikates sollten Sie sich zuerst mit den Konfigurationsdateien Ihres Webservers vertraut machen. Diese finden Sie in der Regel unter /etc/<Produkt>/ . (/etc/nginx, /etc/apache2, /etc/httpd, …)
Welche Änderungen Sie zur Absicherung Ihres Webservers an Ihrer Konfigurationsdatei vornehmen müssen, können Sie im kostenlosen Konfigurationsgenerator von Mozilla sich anzeigen lassen. (https://ssl-config.mozilla.org/)
Nachdem Sie im Konfigurationsgenerator Ihre Einstellungen ausgewählt haben, können Sie mit der angezeigte Konfiguration Ihre Webserver-Konfigurationsdatei anpassen.
Die Webserver-Konfigurationsdatei finden Sie direkt in Ihrem Konfigurationsordner, meist werden auch hier Produktnamen als Dateinamen verwendet. (apache2.conf, htttpd.conf, nginx.conf, …)
Nach der Anpassung Ihrer Konfiguration sollten Sie die verwendeten Platzhalter (/path/to/…) an Ihre lokalen Gegebenheiten anpassen.
Anschließend können Sie die Syntax Ihrer Konfiguration mit einem Test (apachectl configtest , nginx -t , …) überprüfen und bei Erfolg den Webserver neu starten.
[...] <VirtualHost _default_:443> DocumentRoot "/srv/www/htdocs" ServerName example.inst.tu-bs.de:443 [...] SSLEngine on SSLCertificateFile etc/apache2/ssl.key/common_name.pem SSLCertificateKeyFile /etc/apache2/ssl.key/privkey.pem SSLCertificateChainFile /etc/apache2/ssl.key/common_name_interm.cer [...] </VirtualHost> [...]
# # myopenssl.conf # HOME = . RANDFILE = $ENV::HOME/.rnd [ req ] default_bits = 4096 default_keyfile = server-key.pem distinguished_name = req_distinguished_name attributes = req_attributes string_mask = nombstr req_extensions = v3_req [ req_distinguished_name ] countryName = Laendername (bitte nicht aendern) countryName_default = DE countryName_min = 2 countryName_max = 2 0.organizationName = Name der Organisation (bitte nicht aendern) 0.organizationName_default = Technische Universitaet Braunschweig 0.organizationalUnitName = Offizieller Einrichtungsname (ohne Umlaute) 0.organizationalUnitName_default = 1.organizationalUnitName = Optional Abteilung oder AG im Institut 1.organizationalUnitName_default = stateOrProvinceName = Bundesland (ausgeschrieben) stateOrProvinceName_default = Niedersachsen localityName = Locality Name - Stadt (Sitz der TU Braunschweig) localityName_default = Braunschweig commonName = Voller DNS-Name unter dem der Service erreichbar ist commonName_max = 64 emailAddress = Support E-Mail Adresse der Einrichtung (bevorzugt) emailAddress_max = 40 emailAddress_default = [ req_attributes ] [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# # myopenssl.conf # HOME = . RANDFILE = $ENV::HOME/.rnd [ req ] default_bits = 4096 default_keyfile = server-key.pem distinguished_name = req_distinguished_name attributes = req_attributes string_mask = nombstr req_extensions = v3_req [ req_distinguished_name ] countryName = Laendername (bitte nicht aendern) countryName_default = DE countryName_min = 2 countryName_max = 2 0.organizationName = Name der Organisation (bitte nicht aendern) 0.organizationName_default = Technische Universitaet Braunschweig 0.organizationalUnitName = Offizieller Einrichtungsname (ohne Umlaute) 0.organizationalUnitName_default = 1.organizationalUnitName = Optional Abteilung oder AG im Institut 1.organizationalUnitName_default = stateOrProvinceName = Bundesland (ausgeschrieben) stateOrProvinceName_default = Niedersachsen localityName = Locality Name - Stadt (Sitz der TU Braunschweig) localityName_default = Braunschweig commonName = Voller DNS-Name unter dem der Service erreichbar ist commonName_max = 64 emailAddress = Support E-Mail Adresse der Einrichtung (bevorzugt) emailAddress_max = 40 emailAddress_default = [ req_attributes ] [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName=@subject_alt_name [ subject_alt_name ] DNS.1=*.tu-bs.de DNS.2=*.tu-braunschweig.de