Jnk (Diskussion | Beiträge) |
Nielsr (Diskussion | Beiträge) K (→Vorgehen) |
||
| (24 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 6: | Zeile 6: | ||
|hasdisambig=Nein | |hasdisambig=Nein | ||
}} | }} | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| + | ==Voraussetzung== | ||
| + | Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. In der folgenden Übersicht finden Sie eine Liste der berechtigten Personen. | ||
| + | * [[Zertifizierungsinstanz Verantwortliche für Serverzertifikate]] | ||
| + | Sollten die Einträge nicht mehr korrekt sein oder wollen sie sich für ihren Bereich registrieren, nehmen Sie bitte Kontakt mit uns auf. | ||
| + | * [mailto:ca@uni-paderborn.de ca@uni-paderborn.de] | ||
| + | |||
| + | ==Vorgehen== | ||
| + | Wir empfehlen das automatisierte Beantragen von Zertifikaten über das ACME Protokoll. Dazu sind folgende Schritte nötig: | ||
| + | * Senden Sie als Bereichsverantwortlicher eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts | ||
| + | * Beizulegen: eine Liste aller benötigten Domains (FQDN) | ||
| + | * Weitere Domains können später nachgetragen werden | ||
| + | |||
| + | Im Anschluss erhalten Sie von uns alle nötigen Daten um Zertifikate zu beantragen: | ||
| + | * <code>Key ID</code>(eab-kid) | ||
| + | * <code>HMAC Key</code>(eab-hmac-key) | ||
| + | * <code>Server URL</code> | ||
| + | |||
| + | |||
| + | Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen. | ||
| + | |||
| + | ==Automatisierung== | ||
| + | Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit '''Certbot''' möglich. | ||
| + | |||
| + | <syntaxhighlight lang="bash"> | ||
| + | certbot certonly | ||
| + | --standalone | ||
| + | --agree-tos | ||
| + | --email <Ihre E-Mail-Adresse>@uni-paderborn.de | ||
| + | --eab-kid <Ihr EAB-KID> | ||
| + | --eab-hmac-key <Ihr HMAC-Key> | ||
| + | --server <ACME-Server-Adresse> | ||
| + | --domain <Ihre Domain> | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | |||
| + | Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter: | ||
| + | * Download: https://github.com/certbot/certbot | ||
| + | * Dokumentation: https://eff-certbot.readthedocs.io/en/stable/ | ||
| + | <br> | ||
| + | |||
| + | ==Warum Zertifikate automatisiert erneuern?== | ||
| + | Moderne TLS-Zertifikate, wie sie z.B. von '''HARICA''' oder '''Let's Encrypt''' ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume. | ||
| + | Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen. | ||
| + | Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment). | ||
| + | Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss. | ||
| + | Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot). | ||
| + | |||
| + | |||
| + | ==Siehe auch== | ||
| + | * [[Zertifizierungsinstanz]] | ||
<!-- | <!-- | ||
| Zeile 83: | Zeile 128: | ||
: '''Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.''' | : '''Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.''' | ||
| − | : Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten, ist es über den Link hinter dem Eintrag "''as Certificate (w/ issuer after), PEM encoded:''" zu laden. | + | : Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten, ist es über den Link hinter dem Eintrag "''as Certificate (w/ issuer after), PEM encoded:''" zu laden.--> |
Aktuelle Version vom 25. Juli 2025, 11:10 Uhr
Allgemeine Informationen
| Anleitung | |
|---|---|
| Informationen | |
| Betriebssystem | Alle |
| Service | Zertifizierungsinstanz |
| Interessant für | Bereiche |
| HilfeWiki des ZIM der Uni Paderborn | |
Voraussetzung[Bearbeiten | Quelltext bearbeiten]
Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. In der folgenden Übersicht finden Sie eine Liste der berechtigten Personen.
Sollten die Einträge nicht mehr korrekt sein oder wollen sie sich für ihren Bereich registrieren, nehmen Sie bitte Kontakt mit uns auf.
Vorgehen[Bearbeiten | Quelltext bearbeiten]
Wir empfehlen das automatisierte Beantragen von Zertifikaten über das ACME Protokoll. Dazu sind folgende Schritte nötig:
- Senden Sie als Bereichsverantwortlicher eine E-Mail an uns mit der Bitte um Einrichtung eines ACME-Accounts
- Beizulegen: eine Liste aller benötigten Domains (FQDN)
- Weitere Domains können später nachgetragen werden
Im Anschluss erhalten Sie von uns alle nötigen Daten um Zertifikate zu beantragen:
Key ID(eab-kid)HMAC Key(eab-hmac-key)Server URL
Die Ausstellung eines Zertifikats kann beispielsweise mit Certbot erfolgen.
Automatisierung[Bearbeiten | Quelltext bearbeiten]
Wir empfehlen das Erneuern von Zertifikaten über das ACME-Protokoll zu automatisieren. Das ist beispielsweise mit Certbot möglich.
certbot certonly
--standalone
--agree-tos
--email <Ihre E-Mail-Adresse>@uni-paderborn.de
--eab-kid <Ihr EAB-KID>
--eab-hmac-key <Ihr HMAC-Key>
--server <ACME-Server-Adresse>
--domain <Ihre Domain>
Weitere Informationen und Anleitung zur Nutzung von Certbot finden Sie unter:
- Download: https://github.com/certbot/certbot
- Dokumentation: https://eff-certbot.readthedocs.io/en/stable/
Warum Zertifikate automatisiert erneuern?[Bearbeiten | Quelltext bearbeiten]
Moderne TLS-Zertifikate, wie sie z.B. von HARICA oder Let's Encrypt ausgestellt werden, haben zunehmend kürzere Gültigkeitszeiträume. Manuelles Beantragen und Einspielen der Zertifikate würde so einen hohen Wartungsaufwand verursachen. Um diesen Prozess zu automatisieren, setzt die Universität Paderborn auf das ACME-Protokoll (Automatic Certificate Management Environment). Dieses Protokoll ermöglicht es, Zertifikate automatisch und sicher anzufordern, zu validieren und zu erneuern – ohne dass jedes Mal manuell ein Antrag gestellt werden muss. Die Ausstellung der Zertifikate erfolgt dabei über die von der Universität genutzte Zertifizierungsstelle HARICA in Kombination mit einem ACME-Client (z.B. Certbot).