Serverzertifikate erstellen: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
(Artikelinhalt ausgeblendet. Ausstellen von Zertifikaten aktuell nicht möglich.)
 
(17 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 8: Zeile 8:
 
{{ambox
 
{{ambox
 
|type=speedy
 
|type=speedy
|text=„Ab 2023 werden Serverzertifikate für das DFN vom Anbieter Sectigo im Rahmen des GÉANT TCS Programms bereitgestellt“
+
|text=Auf Grund eines Anbieterwechsels könnnen aktuell keine neuen Zertifikate ausgestellt werden. An einer Lösung wird bereits gearbeitet.
 
}}
 
}}
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 +
 +
<!--
  
 
== Was ist zu tun? ==
 
== Was ist zu tun? ==
  
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu openssl verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
+
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu ein Skript verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
 
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
 
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
 
* Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.
 
* Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.
Zeile 26: Zeile 28:
  
 
* Melden Sie sich mit ssh bzw. putty auf <code>sshgate.uni-paderborn.de</code> an.
 
* Melden Sie sich mit ssh bzw. putty auf <code>sshgate.uni-paderborn.de</code> an.
* Rufen Sie openssl in folgender Form auf und ersetzen Sie <code>HOSTNAME.uni-paderborn.de</code> (an beiden Positionen) und <code>HOSTNAME.upb.de</code> (an einer Position) durch den konkreten Hostnamen.
+
* Rufen Sie das Skript <code>imt-certificate-manual</code> auf und geben Sie ihre gewünschten Daten ein:
 
 
 
 
openssl req -newkey rsa:4096 -out csr.pem -keyout key.pem -subj '/CN=HOSTNAME.uni-paderborn.de/O=Universitaet Paderborn/L=Paderborn/ST=Nordrhein-Westfalen/C=DE' -addext "subjectAltName = DNS:HOSTNAME.uni-paderborn.de,DNS:HOSTNAME.upb.de" && cat req.pem
 
  
 +
odenbach@antares2:~$ imt-certificate-manual 
 +
IMT Serverzertifikatsbeantragungsskript
 +
 +
Bei Fragen bitte zuerst hier gucken: https://hilfe.uni-paderborn.de/Serverzertifikate_erstellen
 +
 +
 +
Bitte die Hostnamen eingeben, für die das Zertifikat gültig sein soll.
 +
Einen pro Zeile!
 +
Folgende Eingaben sind möglich:
 +
  - Hostname ohne Domain (dann werden uni-paderborn.de und upb.de automatisch angehängt)
 +
  - Hostname mit Domain (FQDN)
 +
Alle Eingaben werden über DNS Abfragen verifiziert.
 +
Der erste Name wird der CommonName des Zertifikats!
 +
Ein leerer Name beendet die Abfrage.
 +
Name: imt-infoboard
 +
Name: andromeda.ad
 +
Name: doku.dasi.nrw
 +
Name:
 +
 +
Zu erstellendes Zertifikat:
 +
CN: imt-infoboard.uni-paderborn.de
 +
SubjectAlternativeNames: DNS:andromeda.ad.uni-paderborn.de, DNS:andromeda.ad.upb.de, DNS:doku.dasi.nrw, DNS:imt-infoboard.uni-paderborn.de, DNS:imt-infoboard.upb.de
 +
Zielordner: /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
 +
Soll das Zertifikat so erstellt werden? [n]j
 +
Generating RSA private key, 4096 bit long modulus (2 primes)
 +
.........................................................................................................................++++
 +
.......................++++
 +
e is 65537 (0x010001)
 +
Ordner für die Zertifikate erstellt:  /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
 +
CSR liegt jetzt unter /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY/imt-infoboard.uni-paderborn.de.csr
 +
Inhalt des CSR als PEM zum pasten:
 +
-----BEGIN CERTIFICATE REQUEST-----
 +
MIIFSzCCAzMCAQAwgYkxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t
 +
V2VzdGZhbGVuMRIwEAYDVQQHEwlQYWRlcmJvcm4xHzAdBgNVBAoUFlVuaXZlcnNp
 +
dMOkdCBQYWRlcmJvcm4xJzAlBgNVBAMTHmltdC1pbmZvYm9hcmQudW5pLXBhZGVy
 +
[...]
 +
KZrj6yyCB6HgfZJrgpQ0
 +
-----END CERTIFICATE REQUEST-----
 +
 +
 +
Hier der Link zur CA Seite: https://cert-manager.com/customer/DFN/ssl/upb
  
* Geben Sie 2x ein frei wählbares Passwort ein, um den privaten Schlüssel später entschlüsseln zu können.
 
 
* Kopieren sie die Ausgabe inkl. der Zeilen „'''-----BEGIN CERTIFICATE REQUEST-----'''“ und „'''-----END CERTIFICATE REQUEST-----'''".
 
* Kopieren sie die Ausgabe inkl. der Zeilen „'''-----BEGIN CERTIFICATE REQUEST-----'''“ und „'''-----END CERTIFICATE REQUEST-----'''".
* Öffnen Sie folgende Webadresse: https://cert-manager.com/customer/DFN/ssl/sslsaml
+
* Öffnen Sie ausgegebene Webadresse: https://cert-manager.com/customer/DFN/ssl/upb
 
* Klicken Sie den Button „'''Your Institution'''“.
 
* Klicken Sie den Button „'''Your Institution'''“.
 
* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
 
* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
* '''Melden Sie sich mit ihrem IMT Account und Passwort an.'''
+
* '''Melden Sie sich mit ihrem Uni-Account und Passwort an.'''
* Wählen Sie im Abschnitt „''Select Enrollment Account''
+
* Klicken Sie am oberen rechten Rand der Seite auf die Schaltfläche "'''Enroll Certificate'''".
*: unter Account „Universität Paderborn 01 Serverzertifikate“ aus
 
*: und bestätigen Sie mit „Next“.
 
 
* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
 
* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab. Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.
+
* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab.  
 +
<br>
 +
 
 +
: '''Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.'''
 +
: Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten, ist es über den Link hinter dem Eintrag "''as Certificate (w/ issuer after), PEM encoded:''" zu laden.

Aktuelle Version vom 13. Januar 2025, 07:59 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceZertifizierungsinstanz
Interessant fürBereiche
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: Serverzertifikate erstellen

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo-Do Fr
Vor-Ort-Support 08:30 - 16:00 08:30 - 14:00
Telefonsupport 08:30 - 16:00 08:30 - 14:00


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo-Do Fr
08:00 - 16:00 08:00 - 14:30
Abgerufen von „https://hilfe.uni-paderborn.de/index.php?title=Serverzertifikate_erstellen&oldid=37508
Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.
Weitere Informationen