Serverzertifikate erstellen: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
K
(Die Webseite erfordert noch das klicken einer weiteren Schaltfläche.)
 
(48 dazwischenliegende Versionen von 13 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Infobox article
+
{{article
| os = Any <!-- one or many operating systems, the acticle is written for. please choose only options from the same os family. for a common article choose any. this is also the default, if os is left empty or is omitted -->
+
|type=Anleitung
| service = CA <!-- one or many services, the acticle is written for. for a common article choose any. this is also the default, if service is left empty or is omitted -->
+
|os=Any
| targetgroup = Bereiche <!-- targetgroup(s), the acticle is written for. if left empty, default is Angestellte, Gäste, Studierende -->
+
|service=Service:CA
| type = Anleitung <!-- please pick one and only one -->
+
|targetgroup=Bereiche
| disambiguation = <NAME OF DISAMBIGUATION PAGE. Left empty or omitted if none> <!-- if there are multiple aricles for a certain how-to (eg. eduroam (windows 7), eduroam (windows 8) etc.), please create a disambiguation page for the topic and put the name of that page here. leave empty if none disambiguation present -->
+
|hasdisambig=Nein
 +
}}
 +
{{ambox
 +
|type=speedy
 +
|text=„Ab 2023 werden Serverzertifikate für das DFN vom Anbieter Sectigo im Rahmen des GÉANT TCS Programms bereitgestellt“
 
}}
 
}}
{{otrs|297903}}
 
{{draft}}
 
 
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
  
 
== Was ist zu tun? ==
 
== Was ist zu tun? ==
  
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel.
+
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu ein Skript verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der CA der Universität Paderborn.
+
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
* Erhalten Sie Ihr fertiges Zertifikat per E-Mail.
+
* Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.
 +
 
 +
 
 +
== Voraussetzung ==
 +
* Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu  eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von <b><u>[[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Serverzertifikaten berechtigten Personen]]</u></b>. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die [mailto:ca@uni-paderborn.de CA der Universität Paderborn]. Wir rufen dann zurück.
  
== Schritt-für-Schritt-Anleitung ==
 
  
* Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu  eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Diese Liste finden Sie [http://imt.uni-paderborn.de/ca/server-zertifikate/verantwortliche-fuer-serverzertifikate/ hier]. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die [mailto:ca@uni-paderborn.de CA der Universität Paderborn]. Wir rufen dann zurück.
+
=== Schritt-für-Schritt-Anleitung ===
  
* Erstellen Sie für Ihren Server einen (mindestens 2048 Bit großen) Schlüssel und einen dazu passenden Certificate Signing Request (CSR). Informationen dazu finden Sie in den [https://www.pki.dfn.de/index.php?id=faqpki DFN-PKI-FAQ] und in der [https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf Anleitung zur Nutzung von OpenSSL in der DFN-PKI].
+
* Melden Sie sich mit ssh bzw. putty auf <code>sshgate.uni-paderborn.de</code> an.
 +
* Rufen Sie das Skript <code>imt-certificate-manual</code> auf und geben Sie ihre gewünschten Daten ein:
  
* Laden Sie den CSR mit dem [https://pki.pca.dfn.de/uni-paderborn-ca/pub Webinterface der CA der Universität Paderborn] unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. ''' Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der [http://imt.uni-paderborn.de/ca/server-zertifikate/verantwortliche-fuer-serverzertifikate/ Liste] für verantworliche Personen entsprechen'''. An der Stelle "Ich stimme der Veröffentlichung des Zertifikats zu" bitte keinen Haken, denn die Veröffentlichung eines Server-Zertifikates im Verzeichnisdienst des DFN macht keinen Sinn.
+
odenbach@antares2:~$ imt-certificate-manual 
 +
IMT Serverzertifikatsbeantragungsskript
 +
 +
Bei Fragen bitte zuerst hier gucken: https://hilfe.uni-paderborn.de/Serverzertifikate_erstellen
 +
 +
 +
Bitte die Hostnamen eingeben, für die das Zertifikat gültig sein soll.
 +
Einen pro Zeile!
 +
Folgende Eingaben sind möglich:
 +
  - Hostname ohne Domain (dann werden uni-paderborn.de und upb.de automatisch angehängt)
 +
  - Hostname mit Domain (FQDN)
 +
Alle Eingaben werden über DNS Abfragen verifiziert.
 +
Der erste Name wird der CommonName des Zertifikats!
 +
Ein leerer Name beendet die Abfrage.
 +
Name: imt-infoboard
 +
Name: andromeda.ad
 +
Name: doku.dasi.nrw
 +
Name:
 +
 +
Zu erstellendes Zertifikat:
 +
CN: imt-infoboard.uni-paderborn.de
 +
SubjectAlternativeNames: DNS:andromeda.ad.uni-paderborn.de, DNS:andromeda.ad.upb.de, DNS:doku.dasi.nrw, DNS:imt-infoboard.uni-paderborn.de, DNS:imt-infoboard.upb.de
 +
Zielordner: /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
 +
Soll das Zertifikat so erstellt werden? [n]j
 +
Generating RSA private key, 4096 bit long modulus (2 primes)
 +
.........................................................................................................................++++
 +
.......................++++
 +
e is 65537 (0x010001)
 +
Ordner für die Zertifikate erstellt: /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
 +
CSR liegt jetzt unter /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY/imt-infoboard.uni-paderborn.de.csr
 +
Inhalt des CSR als PEM zum pasten:
 +
-----BEGIN CERTIFICATE REQUEST-----
 +
MIIFSzCCAzMCAQAwgYkxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t
 +
V2VzdGZhbGVuMRIwEAYDVQQHEwlQYWRlcmJvcm4xHzAdBgNVBAoUFlVuaXZlcnNp
 +
dMOkdCBQYWRlcmJvcm4xJzAlBgNVBAMTHmltdC1pbmZvYm9hcmQudW5pLXBhZGVy
 +
[...]
 +
KZrj6yyCB6HgfZJrgpQ0
 +
-----END CERTIFICATE REQUEST-----
 +
 +
 +
Hier der Link zur CA Seite: https://cert-manager.com/customer/DFN/ssl/upb
  
* Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der CA der Universität Paderborn. Am Campus können Sie sich beim IMT registrieren (schreiben Sie an [mailto:benutzerberatung@uni-paderborn.de IMT-Benutzerberatung]), in der Fürstenallee betreibt der Informatik Rechnerbetrieb (IRB) eine Registrierungsstelle (schreiben Sie an die [mailto:irb-support@uni-paderborn.de IRB-Support-Adresse]). Bringen Sie Ihren gültigen Personalausweis oder Reisepass zur Registrierung mit.
+
* Kopieren sie die Ausgabe inkl. der Zeilen „'''-----BEGIN CERTIFICATE REQUEST-----'''“ und „'''-----END CERTIFICATE REQUEST-----'''".
 +
* Öffnen Sie ausgegebene Webadresse: https://cert-manager.com/customer/DFN/ssl/upb
 +
* Klicken Sie den Button „'''Your Institution'''“.
 +
* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
 +
* '''Melden Sie sich mit ihrem Uni-Account und Passwort an.'''
 +
* Klicken Sie am oberen rechten Rand der Seite auf die Schaltfläche "'''Enroll Certificate'''".
 +
* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
 +
* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab.  
 +
<br>
  
* Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per E-Mail zugesandt.
+
: '''Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.'''
 +
: Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten, ist es über den Link hinter dem Eintrag "''as Certificate (w/ issuer after), PEM encoded:''" zu laden.

Aktuelle Version vom 14. Juni 2024, 08:44 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceZertifizierungsinstanz
Interessant fürBereiche
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: Serverzertifikate erstellen

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

  • Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu ein Skript verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
  • Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
  • Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.


Voraussetzung[Bearbeiten | Quelltext bearbeiten]

  • Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn. Wir rufen dann zurück.


Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]

  • Melden Sie sich mit ssh bzw. putty auf sshgate.uni-paderborn.de an.
  • Rufen Sie das Skript imt-certificate-manual auf und geben Sie ihre gewünschten Daten ein:
odenbach@antares2:~$ imt-certificate-manual   
IMT Serverzertifikatsbeantragungsskript

Bei Fragen bitte zuerst hier gucken: https://hilfe.uni-paderborn.de/Serverzertifikate_erstellen


Bitte die Hostnamen eingeben, für die das Zertifikat gültig sein soll.
Einen pro Zeile!
Folgende Eingaben sind möglich:
 - Hostname ohne Domain (dann werden uni-paderborn.de und upb.de automatisch angehängt)
 - Hostname mit Domain (FQDN)
Alle Eingaben werden über DNS Abfragen verifiziert.
Der erste Name wird der CommonName des Zertifikats!
Ein leerer Name beendet die Abfrage.
Name: imt-infoboard
Name: andromeda.ad
Name: doku.dasi.nrw
Name: 

Zu erstellendes Zertifikat:
CN: imt-infoboard.uni-paderborn.de
SubjectAlternativeNames: DNS:andromeda.ad.uni-paderborn.de, DNS:andromeda.ad.upb.de, DNS:doku.dasi.nrw, DNS:imt-infoboard.uni-paderborn.de, DNS:imt-infoboard.upb.de
Zielordner: /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
Soll das Zertifikat so erstellt werden? [n]j
Generating RSA private key, 4096 bit long modulus (2 primes)
.........................................................................................................................++++
.......................++++
e is 65537 (0x010001)
Ordner für die Zertifikate erstellt:  /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY
CSR liegt jetzt unter /upb/users/o/odenbach/data/imt-infoboard.uni-paderborn.de_6ILVY/imt-infoboard.uni-paderborn.de.csr
Inhalt des CSR als PEM zum pasten:
-----BEGIN CERTIFICATE REQUEST-----
MIIFSzCCAzMCAQAwgYkxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t
V2VzdGZhbGVuMRIwEAYDVQQHEwlQYWRlcmJvcm4xHzAdBgNVBAoUFlVuaXZlcnNp
dMOkdCBQYWRlcmJvcm4xJzAlBgNVBAMTHmltdC1pbmZvYm9hcmQudW5pLXBhZGVy
[...]
KZrj6yyCB6HgfZJrgpQ0
-----END CERTIFICATE REQUEST-----


Hier der Link zur CA Seite: https://cert-manager.com/customer/DFN/ssl/upb
  • Kopieren sie die Ausgabe inkl. der Zeilen „-----BEGIN CERTIFICATE REQUEST-----“ und „-----END CERTIFICATE REQUEST-----".
  • Öffnen Sie ausgegebene Webadresse: https://cert-manager.com/customer/DFN/ssl/upb
  • Klicken Sie den Button „Your Institution“.
  • Suchen Sie per „Add your Institution“ nach Paderborn und wählen Sie die Universität aus.
  • Melden Sie sich mit ihrem Uni-Account und Passwort an.
  • Klicken Sie am oberen rechten Rand der Seite auf die Schaltfläche "Enroll Certificate".
  • Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
  • Senden Sie zum Abschluss das Formular per „Submit“ ab.


Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.
Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten, ist es über den Link hinter dem Eintrag "as Certificate (w/ issuer after), PEM encoded:" zu laden.

Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo Di - Fr
Vor-Ort-Support Geschlossen Über die Feiertage geschlossen
Telefonsupport 08:30 - 13:00 Über die Feiertage geschlossen


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo Di - Fr
08:00 - 16:00 Über die Feiertage geschlossen


Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.