Serverzertifikate erstellen: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
K
 
(49 dazwischenliegende Versionen von 7 Benutzern werden nicht angezeigt)
Zeile 6: Zeile 6:
 
|hasdisambig=Nein
 
|hasdisambig=Nein
 
}}
 
}}
{{ambox
+
{{template caller‏‎
|type=notice
+
|marker=Draft
|text=Ab sofort führen die Links '''"Webinterface der CA der Universität Paderborn G2"''' zur '''"DFN-PKI Generation-2"'''
 
siehe https://www.pki.dfn.de/faqpki/faq-generation-2/
 
 
}}
 
}}
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
  
== Was ist zu tun? ==
+
==Voraussetzung==
 +
Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn [mailto:ca@uni-paderborn.de ca@uni-paderborn.de]. Wir rufen dann zurück.
 +
 
 +
In der folgenden Übersicht finden Sie eine Liste der zuständigen Personen. Falls die Einträge nicht mehr korrekt sind, nehmen Sie bitte, wie oben genannt, Kontakt mit uns auf.
 +
* [[Zertifizierungsinstanz Verantwortliche für Serverzertifikate]]
 +
 
 +
==Vorgehen==
 +
Je nach Situation geht der Bereichs- oder Gruppenverantwortliche  wie folgt vor:
 +
 
 +
* Kein ACME-Account vorhanden:
 +
** Senden Sie eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts.
 +
** Beizulegen: eine Liste aller benötigten Domains.
 +
* ACME-Account vorhanden, aber Domains fehlen:
 +
** Senden Sie eine E-Mail an uns mit der Liste der zusätzlichen Domains, die für Ihren Account freigeschaltet werden sollen.
 +
* ACME-Account und alle Domains vorhanden:
 +
** Mit dem eingerichteten ACME-Zugang und allen notwendigen Domains können Sie nun ein Zertifikat beantragen.
 +
** Sie erhalten von uns folgende Daten: <code>Key ID</code>(eab-kid), <code>HMAC Key</code>(eab-hmac-key) und <code>Server URL</code>.
 +
** Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen:
  
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu unser Skript '''imt-cert-cli''' verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
+
==Automatisierung==
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der CA der Universität Paderborn. Dieser Schritt wird vom obigen Skript bereits mit erledigt.
+
Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit '''Certbot''' möglich.
* Erhalten Sie Ihr fertiges Zertifikat per E-Mail.
 
  
== Voraussetzung ==
+
<code>certbot certonly --standalone --agree-tos --email <Ihre E-Mail-Adresse>@uni-paderborn.de --eab-kid <Ihr EAB-KID> --eab-hmac-key <Ihr HMAC-Key> --server <ACME-Server-Adresse> --domain <Ihre Domain></code>
* Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu  eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von <b><u>[[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Serverzertifikaten berechtigten Personen]]</u></b>. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die [mailto:ca@uni-paderborn.de CA der Universität Paderborn]. Wir rufen dann zurück.
 
  
=== Schritt-für-Schritt-Anleitung (mit Skript) ===
+
Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter:
 +
* https://certbot.eff.org
 +
<br>
  
* Melden Sie sich mit ssh bzw. putty auf '''sshgate.uni-paderborn.de''' an.
+
<bootstrap_accordion>
 +
<bootstrap_panel heading="Warum Zertifikate automatisiert erneuern?" color="info">
 +
Moderne TLS-Zertifikate, wie sie z.B. von '''HARICA''' oder '''Let's Encrypt''' ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume.
 +
Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen.
 +
Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment).
 +
Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss.
 +
Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot).
 +
</bootstrap_panel>
 +
</bootstrap_accordion>
  
* Rufen Sie das Skript '''imt-cert-cli''' ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei '''.imtcert''', die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld '''organizationalUnitName''' exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld '''afs_path''' muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen.
+
==Siehe auch==
 +
* [[Zertifizierungsinstanz]]
  
* Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen:
+
<!--
  
odenbach@antares:~$ imt-cert-cli servername,131.234.142.12
+
== Was ist zu tun? ==
 
 
countryName: DE
 
organizationName: Universitaet Paderborn
 
organizationalUnitName: Zentrum fuer Informations- und Medientechnologien (IMT)
 
stateOrProvinceName: Nordrhein-Westfalen
 
localityName: Paderborn
 
commonName: servername.uni-paderborn.de
 
emailAddress: webmaster@uni-paderborn.de
 
Alternate:
 
DNS:servername.uni-paderborn.de
 
DNS:servername.upb.de
 
IP:131.234.142.12
 
purpose: Web Server
 
afs_path: /upb/groups/imt/data/Zertifikate/
 
username: 
 
usermail: 
 
userunit: IMT Webmaster
 
userphone: (05251) 60-XXXX
 
passportDigits: 
 
pin: CVBL7FKM4A6L
 
street: Warburgerstr. 100
 
plz: 33098 Paderborn
 
 
 
Zertifikatsantrag erstellen und senden? [Y|n]
 
  
* Bei Bestätigung mit ''Enter '' erstellt das Skript einen Schlüssel und einen zugehörigen Certificate Signing Request (CSR). Dieser wird automatisch zur CA übermittelt, daraufhin wird ein PDF '''antrag.pdf''' zurückgeliefert, das im gleichen Verzeichnis wie Key und CSR gespeichert wird.
+
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu ein Skript verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
 +
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
 +
* Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.
  
* Den Antrag drucken Sie bitte aus und geben ihn persönlich bei einer der Registrierungsstellen der CA der Universität Paderborn ab (siehe unten).
 
  
* Das Zertifikat bekommen Sie dann per Mail zugeschickt.
+
== Voraussetzung ==
 +
* Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu  eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von <b><u>[[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Serverzertifikaten berechtigten Personen]]</u></b>. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die [mailto:ca@uni-paderborn.de CA der Universität Paderborn]. Wir rufen dann zurück.
  
=== Schritt-für-Schritt-Anleitung (manuell) ===
 
  
* Erstellen Sie für Ihren Server einen (mindestens 2048 Bit großen) Schlüssel und einen dazu passenden Certificate Signing Request (CSR). Informationen dazu finden Sie in den [https://www.pki.dfn.de/index.php?id=faqpki DFN-PKI-FAQ] und in der [https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf Anleitung zur Nutzung von OpenSSL in der DFN-PKI].
+
=== Schritt-für-Schritt-Anleitung ===
  
* Laden Sie den CSR mit dem neuen(!) [https://pki.pca.dfn.de/uni-paderborn-ca-g2/pub Webinterface der CA der Universität Paderborn G2] unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. ''' Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der [[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Liste]] für verantworliche Personen entsprechen'''.<br/>
+
* Melden Sie sich mit ssh bzw. putty auf <code>sshgate.uni-paderborn.de</code> an.
 +
* Rufen Sie das Skript <code>imt-certificate-manual</code> auf und geben Sie ihre gewünschten Daten ein:
  
Bei der Beantragung von Serverzertifikaten <b>*muss*</b> einer Veröffentlichung zugestimmt werden.
+
odenbach@antares2:~$ imt-certificate-manual 
Siehe: https://blog.pki.dfn.de/2018/01/certificate-transparency-in-der-dfn-pki/
+
IMT Serverzertifikatsbeantragungsskript
 +
 +
Bei Fragen bitte zuerst hier gucken: https://hilfe.uni-paderborn.de/Serverzertifikate_erstellen
 +
 +
 +
Bitte die Hostnamen eingeben, für die das Zertifikat gültig sein soll.
 +
Einen pro Zeile!
 +
Folgende Eingaben sind möglich:
 +
  - Hostname ohne Domain (dann werden uni-paderborn.de und upb.de automatisch angehängt)
 +
  - Hostname mit Domain (FQDN)
 +
Alle Eingaben werden über DNS Abfragen verifiziert.
 +
Der erste Name wird der CommonName des Zertifikats!
 +
Ein leerer Name beendet die Abfrage.
 +
Name: imt-infoboard
 +
Name: andromeda.ad
 +
Name: doku.dasi.nrw
 +
Name:
 +
 +
Zu erstellendes Zertifikat:
 +
CN: imt-infoboard.uni-paderborn.de
 +
SubjectAlternativeNames: DNS:andromeda.ad.uni-paderborn.de, DNS:andromeda.ad.upb.de, DNS:doku.dasi.nrw, DNS:imt-infoboard.uni-paderborn.de, DNS:imt-infoboard.upb.de
 +
Zielordner: /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
 +
Soll das Zertifikat so erstellt werden? [n]j
 +
Generating RSA private key, 4096 bit long modulus (2 primes)
 +
.........................................................................................................................++++
 +
.......................++++
 +
e is 65537 (0x010001)
 +
Ordner für die Zertifikate erstellt:  /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
 +
CSR liegt jetzt unter /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY/imt-infoboard.uni-paderborn.de.csr
 +
Inhalt des CSR als PEM zum pasten:
 +
-----BEGIN CERTIFICATE REQUEST-----
 +
MIIFSzCCAzMCAQAwgYkxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t
 +
V2VzdGZhbGVuMRIwEAYDVQQHEwlQYWRlcmJvcm4xHzAdBgNVBAoUFlVuaXZlcnNp
 +
dMOkdCBQYWRlcmJvcm4xJzAlBgNVBAMTHmltdC1pbmZvYm9hcmQudW5pLXBhZGVy
 +
[...]
 +
KZrj6yyCB6HgfZJrgpQ0
 +
-----END CERTIFICATE REQUEST-----
 +
 +
 +
Hier der Link zur CA Seite: https://cert-manager.com/customer/DFN/ssl/upb
  
* Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der CA der Universität Paderborn. Am Campus können Sie sich beim IMT registrieren (schreiben Sie an [mailto:imt@uni-paderborn.de IMT@uni-paderborn.de]), in der Fürstenallee betreibt der Informatik Rechnerbetrieb (IRB) eine Registrierungsstelle (schreiben Sie an die [mailto:irb-support@uni-paderborn.de IRB-Support-Adresse]). Bringen Sie Ihren gültigen Personalausweis oder Reisepass zur Registrierung mit.
+
* Kopieren sie die Ausgabe inkl. der Zeilen „'''-----BEGIN CERTIFICATE REQUEST-----'''“ und „'''-----END CERTIFICATE REQUEST-----'''".
 +
* Öffnen Sie ausgegebene Webadresse: https://cert-manager.com/customer/DFN/ssl/upb
 +
* Klicken Sie den Button „'''Your Institution'''“.
 +
* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
 +
* '''Melden Sie sich mit ihrem Uni-Account und Passwort an.'''
 +
* Klicken Sie am oberen rechten Rand der Seite auf die Schaltfläche "'''Enroll Certificate'''".
 +
* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
 +
* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab.  
 +
<br>
  
* Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per E-Mail zugesandt.
+
: '''Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.'''
 +
: Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten, ist es über den Link hinter dem Eintrag "''as Certificate (w/ issuer after), PEM encoded:''" zu laden.

Aktuelle Version vom 4. Juli 2025, 09:10 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceZertifizierungsinstanz
Interessant fürBereiche
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: Serverzertifikate erstellen

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.

Voraussetzung[Bearbeiten | Quelltext bearbeiten]

Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn ca@uni-paderborn.de. Wir rufen dann zurück.

In der folgenden Übersicht finden Sie eine Liste der zuständigen Personen. Falls die Einträge nicht mehr korrekt sind, nehmen Sie bitte, wie oben genannt, Kontakt mit uns auf.

Vorgehen[Bearbeiten | Quelltext bearbeiten]

Je nach Situation geht der Bereichs- oder Gruppenverantwortliche wie folgt vor:

  • Kein ACME-Account vorhanden:
    • Senden Sie eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts.
    • Beizulegen: eine Liste aller benötigten Domains.
  • ACME-Account vorhanden, aber Domains fehlen:
    • Senden Sie eine E-Mail an uns mit der Liste der zusätzlichen Domains, die für Ihren Account freigeschaltet werden sollen.
  • ACME-Account und alle Domains vorhanden:
    • Mit dem eingerichteten ACME-Zugang und allen notwendigen Domains können Sie nun ein Zertifikat beantragen.
    • Sie erhalten von uns folgende Daten: Key ID(eab-kid), HMAC Key(eab-hmac-key) und Server URL.
    • Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen:

Automatisierung[Bearbeiten | Quelltext bearbeiten]

Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit Certbot möglich.

certbot certonly --standalone --agree-tos --email <Ihre E-Mail-Adresse>@uni-paderborn.de --eab-kid <Ihr EAB-KID> --eab-hmac-key <Ihr HMAC-Key> --server <ACME-Server-Adresse> --domain <Ihre Domain>

Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter:


Moderne TLS-Zertifikate, wie sie z.B. von HARICA oder Let's Encrypt ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume. Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen. Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment). Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss. Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot).

Siehe auch[Bearbeiten | Quelltext bearbeiten]



Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Wir sind umgezogen. Sie finden das Notebook-Café gemeinsam mit dem Servicecenter Medien in H1.201.

Wir sind zu folgenden Zeiten erreichbar:

Mo - Do Fr
Vor-Ort-Support 08:30 - 16:00 08:30 - 14:00
Telefonsupport 08:30 - 16:00 08:30 - 14:00
Servicecenter Medien 08:00 - 16:00 08:00 - 14:30



Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.