Jnk (Diskussion | Beiträge) |
Jnk (Diskussion | Beiträge) |
||
| Zeile 23: | Zeile 23: | ||
==Vorgehen== | ==Vorgehen== | ||
| − | + | Falls Sie mit der Nutzung von ACME beginnen wollen: | |
| + | * Senden Sie eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts | ||
| + | * Beizulegen: eine Liste aller benötigten Domains | ||
| + | * Weitere Domains können später nachgetragen werden | ||
| − | + | Im Anschluss erhalten Sie von uns alle nötigen Daten um Zertifikate zu beantragen: | |
| − | + | * <code>Key ID</code>(eab-kid) | |
| − | + | * <code>HMAC Key</code>(eab-hmac-key) | |
| − | * | + | * <code>Server URL</code> |
| − | + | ||
| − | + | ||
| − | + | * Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen: | |
| − | |||
| − | |||
==Automatisierung== | ==Automatisierung== | ||
Version vom 10. Juli 2025, 08:27 Uhr
Allgemeine Informationen
| Anleitung | |
|---|---|
| Informationen | |
| Betriebssystem | Alle |
| Service | Zertifizierungsinstanz |
| Interessant für | Bereiche |
| HilfeWiki des ZIM der Uni Paderborn | |
 | This article is only a draft. Information provided here is most possibly incomplete and/or imprecise. Feel free to help us by expanding it. |
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
Voraussetzung[Bearbeiten | Quelltext bearbeiten]
Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn ca@uni-paderborn.de. Wir rufen dann zurück.
In der folgenden Übersicht finden Sie eine Liste der zuständigen Personen. Falls die Einträge nicht mehr korrekt sind, nehmen Sie bitte, wie oben genannt, Kontakt mit uns auf.
Checkliste
- Berechtigte Person auf der Liste für Verantwortliche eingetragen
- ACME-Account bei HARICA
- Domains für ACME-Account freigeschaltet
Vorgehen[Bearbeiten | Quelltext bearbeiten]
Falls Sie mit der Nutzung von ACME beginnen wollen:
- Senden Sie eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts
- Beizulegen: eine Liste aller benötigten Domains
- Weitere Domains können später nachgetragen werden
Im Anschluss erhalten Sie von uns alle nötigen Daten um Zertifikate zu beantragen:
Key ID(eab-kid)HMAC Key(eab-hmac-key)Server URL
- Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen:
Automatisierung[Bearbeiten | Quelltext bearbeiten]
Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit Certbot möglich.
certbot certonly --standalone --agree-tos --email <Ihre E-Mail-Adresse>@uni-paderborn.de --eab-kid <Ihr EAB-KID> --eab-hmac-key <Ihr HMAC-Key> --server <ACME-Server-Adresse> --domain <Ihre Domain>
Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter:
Warum Zertifikate automatisiert erneuern?
Moderne TLS-Zertifikate, wie sie z.B. von HARICA oder Let's Encrypt ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume. Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen. Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment). Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss. Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot).
Siehe auch[Bearbeiten | Quelltext bearbeiten]