Serverzertifikate erstellen: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
K
 
(21 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 6: Zeile 6:
 
|hasdisambig=Nein
 
|hasdisambig=Nein
 
}}
 
}}
{{ambox
+
{{template caller‏‎
|type=speedy
+
|marker=Draft
|text=„Ab 2023 werden Serverzertifikate für das DFN vom Anbieter Sectigo im Rahmen des GÉANT TCS Programms bereitgestellt“
 
 
}}
 
}}
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 +
 +
==Voraussetzung==
 +
Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn [mailto:ca@uni-paderborn.de ca@uni-paderborn.de]. Wir rufen dann zurück.
 +
 +
In der folgenden Übersicht finden Sie eine Liste der zuständigen Personen. Falls die Einträge nicht mehr korrekt sind, nehmen Sie bitte, wie oben genannt, Kontakt mit uns auf.
 +
* [[Zertifizierungsinstanz Verantwortliche für Serverzertifikate]]
 +
 +
==Vorgehen==
 +
Je nach Situation geht der Bereichs- oder Gruppenverantwortliche  wie folgt vor:
 +
 +
* Kein ACME-Account vorhanden:
 +
** Senden Sie eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts.
 +
** Beizulegen: eine Liste aller benötigten Domains.
 +
* ACME-Account vorhanden, aber Domains fehlen:
 +
** Senden Sie eine E-Mail an uns mit der Liste der zusätzlichen Domains, die für Ihren Account freigeschaltet werden sollen.
 +
* ACME-Account und alle Domains vorhanden:
 +
** Mit dem eingerichteten ACME-Zugang und allen notwendigen Domains können Sie nun ein Zertifikat beantragen.
 +
** Sie erhalten von uns folgende Daten: <code>Key ID</code>(eab-kid), <code>HMAC Key</code>(eab-hmac-key) und <code>Server URL</code>.
 +
** Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen:
 +
 +
==Automatisierung==
 +
Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit '''Certbot''' möglich.
 +
 +
<code>certbot certonly --standalone --agree-tos --email <Ihre E-Mail-Adresse>@uni-paderborn.de --eab-kid <Ihr EAB-KID> --eab-hmac-key <Ihr HMAC-Key> --server <ACME-Server-Adresse> --domain <Ihre Domain></code>
 +
 +
Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter:
 +
* https://certbot.eff.org
 +
<br>
 +
 +
<bootstrap_accordion>
 +
<bootstrap_panel heading="Warum Zertifikate automatisiert erneuern?" color="info">
 +
Moderne TLS-Zertifikate, wie sie z.B. von '''HARICA''' oder '''Let's Encrypt''' ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume.
 +
Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen.
 +
Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment).
 +
Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss.
 +
Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot).
 +
</bootstrap_panel>
 +
</bootstrap_accordion>
 +
 +
==Siehe auch==
 +
* [[Zertifizierungsinstanz]]
 +
 +
<!--
  
 
== Was ist zu tun? ==
 
== Was ist zu tun? ==
Zeile 74: Zeile 116:
 
* Klicken Sie den Button „'''Your Institution'''“.
 
* Klicken Sie den Button „'''Your Institution'''“.
 
* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
 
* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
* '''Melden Sie sich mit ihrem IMT Account und Passwort an.'''
+
* '''Melden Sie sich mit ihrem Uni-Account und Passwort an.'''
* Wählen Sie im Abschnitt „''Select Enrollment Account''
+
* Klicken Sie am oberen rechten Rand der Seite auf die Schaltfläche "'''Enroll Certificate'''".
*: unter Account „Universität Paderborn 01 Serverzertifikate“ aus
 
*: und bestätigen Sie mit „Next“.
 
 
* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
 
* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
 
* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab.  
 
* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab.  

Aktuelle Version vom 4. Juli 2025, 09:10 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceZertifizierungsinstanz
Interessant fürBereiche
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: Serverzertifikate erstellen

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.

Voraussetzung[Bearbeiten | Quelltext bearbeiten]

Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn ca@uni-paderborn.de. Wir rufen dann zurück.

In der folgenden Übersicht finden Sie eine Liste der zuständigen Personen. Falls die Einträge nicht mehr korrekt sind, nehmen Sie bitte, wie oben genannt, Kontakt mit uns auf.

Vorgehen[Bearbeiten | Quelltext bearbeiten]

Je nach Situation geht der Bereichs- oder Gruppenverantwortliche wie folgt vor:

  • Kein ACME-Account vorhanden:
    • Senden Sie eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts.
    • Beizulegen: eine Liste aller benötigten Domains.
  • ACME-Account vorhanden, aber Domains fehlen:
    • Senden Sie eine E-Mail an uns mit der Liste der zusätzlichen Domains, die für Ihren Account freigeschaltet werden sollen.
  • ACME-Account und alle Domains vorhanden:
    • Mit dem eingerichteten ACME-Zugang und allen notwendigen Domains können Sie nun ein Zertifikat beantragen.
    • Sie erhalten von uns folgende Daten: Key ID(eab-kid), HMAC Key(eab-hmac-key) und Server URL.
    • Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen:

Automatisierung[Bearbeiten | Quelltext bearbeiten]

Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit Certbot möglich.

certbot certonly --standalone --agree-tos --email <Ihre E-Mail-Adresse>@uni-paderborn.de --eab-kid <Ihr EAB-KID> --eab-hmac-key <Ihr HMAC-Key> --server <ACME-Server-Adresse> --domain <Ihre Domain>

Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter:


Moderne TLS-Zertifikate, wie sie z.B. von HARICA oder Let's Encrypt ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume. Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen. Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment). Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss. Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot).

Siehe auch[Bearbeiten | Quelltext bearbeiten]


Digitaler Datensatz der zum Identitätsnachweis genutzt wird. Bezieht sich unter anderem auf Netzwerkzertifikate (WLAN: eduroam) aber auch auf E-Mail-Zertifikate zum signieren & verschlüsseln von E-Mails.

Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Wir sind umgezogen. Sie finden das Notebook-Café gemeinsam mit dem Servicecenter Medien in H1.201.

Wir sind zu folgenden Zeiten erreichbar:

Mo - Do Fr
Vor-Ort-Support 08:30 - 16:00 08:30 - 14:00
Telefonsupport 08:30 - 16:00 08:30 - 14:00
Servicecenter Medien 08:00 - 16:00 08:00 - 14:30



Abgerufen von „https://hilfe.uni-paderborn.de/index.php?title=Serverzertifikate_erstellen&oldid=39325
Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.
Weitere Informationen