Serverzertifikate erstellen: Unterschied zwischen den Versionen

IMT HilfeWiki - das Wiki
(27 dazwischenliegende Versionen von 12 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Infobox article
+
{{article
| os = Any <!-- one or many operating systems, the acticle is written for. please choose only options from the same os family. for a common article choose any. this is also the default, if os is left empty or is omitted -->
+
|type=Anleitung
| service = CA <!-- one or many services, the acticle is written for. for a common article choose any. this is also the default, if service is left empty or is omitted -->
+
|os=Any
| targetgroup = Bereiche <!-- targetgroup(s), the acticle is written for. if left empty, default is Angestellte, Gäste, Studierende -->
+
|service=Service:CA
| type = Anleitung <!-- please pick one and only one -->
+
|targetgroup=Bereiche
| disambiguation = <NAME OF DISAMBIGUATION PAGE. Left empty or omitted if none> <!-- if there are multiple aricles for a certain how-to (eg. eduroam (windows 7), eduroam (windows 8) etc.), please create a disambiguation page for the topic and put the name of that page here. leave empty if none disambiguation present -->
+
|hasdisambig=Nein
 
}}
 
}}
 +
{{ambox
 +
|type=notice
 +
|text=Ab sofort führen die Links '''"Webinterface der CA der Universität Paderborn G2"''' zur '''"DFN-PKI Generation-2"'''
 +
siehe https://www.pki.dfn.de/faqpki/faq-generation-2/
 +
}}
 +
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
 +
 +
== Was ist zu tun? ==
  
{{draft}}
+
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu unser Skript '''imt-cert-cli''' verwenden, das auf dem Rechner '''sshgate.uni-paderborn.de''' installiert ist.
 +
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der CA der Universität Paderborn. Dieser Schritt wird vom obigen Skript bereits mit erledigt.
 +
* Erhalten Sie Ihr fertiges Zertifikat per E-Mail.
  
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
+
== Voraussetzung ==
 +
* Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu  eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von <b><u>[[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Serverzertifikaten berechtigten Personen]]</u></b>. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die [mailto:ca@uni-paderborn.de CA der Universität Paderborn]. Wir rufen dann zurück.
 +
 
 +
 
 +
=== Schritt-für-Schritt-Anleitung (mit Skript) ===
 +
 
 +
* Melden Sie sich mit ''ssh'' bzw. ''putty'' auf '''sshgate.uni-paderborn.de''' an.
 +
 
 +
* Rufen Sie das Skript '''imt-cert-cli''' ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei '''.imtcert''', die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld '''organizationalUnitName''' exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld '''afs_path''' muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen.
 +
 
 +
* Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen. Sie können über Kommata getrennt noch weitere Aliasse mit aufnehmen. Grundsätzlich gehen auch IP-Adressen, allerdings müssen diese von der CA erst freigeschaltet werden, was einige Zeit (Tage bis Wochen) dauern kann. Es wird daher empfohlen, keine IP-Adressen mit ins Zertifikat aufnehmen zu lassen.
 +
 
 +
odenbach@antares:~$ imt-cert-cli servername,alias
 +
 +
 +
countryName: DE
 +
organizationName: Universitaet Paderborn
 +
organizationalUnitName: Zentrum fuer Informations- und Medientechnologien (IMT)
 +
stateOrProvinceName: Nordrhein-Westfalen
 +
localityName: Paderborn
 +
commonName: servername.uni-paderborn.de
 +
emailAddress: webmaster@uni-paderborn.de
 +
Alternate:
 +
DNS:servername.uni-paderborn.de
 +
DNS:servername.upb.de
 +
DNS:alias.uni-paderborn.de
 +
DNS:alias.upb.de
 +
purpose: Web Server
 +
afs_path: /upb/groups/imt/data/Zertifikate/
 +
username: 
 +
usermail: 
 +
userunit: IMT Webmaster
 +
userphone: (05251) 60-XXXX
 +
passportDigits: 
 +
pin: CVBL7FKM4A6L
 +
street: Warburgerstr. 100
 +
plz: 33098 Paderborn
 +
 +
 +
Zertifikatsantrag erstellen und senden? [Y|n]
 +
 
 +
* Bei Bestätigung mit ''Enter '' erstellt das Skript einen Schlüssel und einen zugehörigen Certificate Signing Request (CSR). Dieser wird automatisch zur CA übermittelt, daraufhin wird ein PDF '''antrag.pdf''' zurückgeliefert, das im gleichen Verzeichnis wie Key und CSR gespeichert wird.
  
== Was ist zu tun? ==
+
* Den Antrag drucken Sie bitte aus und geben ihn persönlich bei einer der Registrierungsstellen der CA der Universität Paderborn ab (siehe unten).
  
* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel
+
* Das Zertifikat bekommen Sie dann per Mail zugeschickt.
* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der Uni-Paderborn CA
 
* Erhalten Sie Ihr fertiges Zertifikat per E-Mail
 
  
== Schritt für Schritt Anleitung ==
+
=== Schritt-für-Schritt-Anleitung (manuell) ===
  
* Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst ob Sie die entsprechenden Berechtigungen haben. Die Uni-Paderborn CA  führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Diese Liste finden Sie [http://imt.uni-paderborn.de/ca/server-zertifikate/verantwortliche-fuer-serverzertifikate/ hier]. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine Mail mit Ihren Kontaktdaten an die [mailto:ca@uni-paderborn.de Uni-Paderborn CA]. Wir rufen dann zurück.
+
* Erstellen Sie für Ihren Server einen (mindestens 2048 Bit großen) Schlüssel und einen dazu passenden Certificate Signing Request (CSR). Informationen dazu finden Sie in den [https://www.pki.dfn.de/index.php?id=faqpki DFN-PKI-FAQ] und in der [https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf Anleitung zur Nutzung von OpenSSL in der DFN-PKI].
  
* Erstellen Sie für Ihren Server einen (mindestens 2048 Bit großen) Schlüssel und einen dazu passenden Certificate Signing Request (CSR). Informationen finden Sie in den [https://www.pki.dfn.de/index.php?id=faqpki DFN-PKI-FAQ] und in der [https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf Anleitung zur Nutzung von OpenSSL in der DFN-PKI].
+
* Laden Sie den CSR mit dem neuen(!) [https://pki.pca.dfn.de/uni-paderborn-ca-g2/pub Webinterface der CA der Universität Paderborn G2] unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. ''' Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der [[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Liste]] für verantworliche Personen entsprechen'''.<br/>
  
* Laden Sie den CSR mit dem [https://pki.pca.dfn.de/uni-paderborn-ca/pub Webinterface der Uni-Paderborn CA] unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. ''' Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der [http://imt.uni-paderborn.de/ca/server-zertifikate/verantwortliche-fuer-serverzertifikate/ Liste] für verantworliche Personen entsprechen'''. An der Stelle "Ich stimme der Veröffentlichung des Zertifikats zu" bitte keinen Haken, denn die Veröffentlichung eines Server-Zertifikates im Verzeichnisdienst des DFN macht keinen Sinn.
+
Bei der Beantragung von Serverzertifikaten <b>*muss*</b> einer Veröffentlichung zugestimmt werden.
 +
Siehe: https://blog.pki.dfn.de/2018/01/certificate-transparency-in-der-dfn-pki/
  
* Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der Uni-Paderborn CA. Am Campus können Sie sich beim IMT registrieren (Schreiben Sie an [mailto:benutzerberatung@uni-paderborn.de IMT-Benutzerberatung]), in der Fürstenallee betreibt der Informatik Rechnerbetrieb (IRB) eine Registrierungsstelle (Schreiben Sie an die [mailto:irb-support@uni-paderborn.de IRB-Support Adresse]). Bringen Sie Ihren gültigen Personalausweis oder Reisepass zur Registrierung mit.
+
* Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der CA der Universität Paderborn. Sie benötigen zur Authentifizierung einen amtlichen, gültigen Lichtbildausweis.
 +
** Am Campus: IMT ServicePoint N5.344, Mo-Fr 8.30h - 15.30h, Tel. 5544, E-Mail [mailto:imt@uni-paderborn.de imt@uni-paderborn.de]
 +
** Fürstenallee: Michael Utermöhle  (Raum F0.116, Tel. 6666) oder Tobias Schultz-Friese (Mo/Mi/Fr: Raum F2.215,  Tel. 6664)
  
* Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per Email zugesandt.
+
* Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per E-Mail zugesandt.

Version vom 21. November 2019, 11:13 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceZertifizierungsinstanz
Interessant fürBereiche
HilfeWiki des IMT der Uni Paderborn

no displaytitle found: Serverzertifikate erstellen

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

  • Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu unser Skript imt-cert-cli verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
  • Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der CA der Universität Paderborn. Dieser Schritt wird vom obigen Skript bereits mit erledigt.
  • Erhalten Sie Ihr fertiges Zertifikat per E-Mail.

Voraussetzung[Bearbeiten | Quelltext bearbeiten]

  • Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn. Wir rufen dann zurück.


Schritt-für-Schritt-Anleitung (mit Skript)[Bearbeiten | Quelltext bearbeiten]

  • Melden Sie sich mit ssh bzw. putty auf sshgate.uni-paderborn.de an.
  • Rufen Sie das Skript imt-cert-cli ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei .imtcert, die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld organizationalUnitName exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld afs_path muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen.
  • Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen. Sie können über Kommata getrennt noch weitere Aliasse mit aufnehmen. Grundsätzlich gehen auch IP-Adressen, allerdings müssen diese von der CA erst freigeschaltet werden, was einige Zeit (Tage bis Wochen) dauern kann. Es wird daher empfohlen, keine IP-Adressen mit ins Zertifikat aufnehmen zu lassen.
odenbach@antares:~$ imt-cert-cli servername,alias


countryName: DE 
organizationName: Universitaet Paderborn 
organizationalUnitName: Zentrum fuer Informations- und Medientechnologien (IMT) 
stateOrProvinceName: Nordrhein-Westfalen 
localityName: Paderborn 
commonName: servername.uni-paderborn.de 
emailAddress: webmaster@uni-paderborn.de 
Alternate: 
DNS:servername.uni-paderborn.de 
DNS:servername.upb.de 
DNS:alias.uni-paderborn.de 
DNS:alias.upb.de 
purpose: Web Server 
afs_path: /upb/groups/imt/data/Zertifikate/ 
username:  
usermail:  
userunit: IMT Webmaster 
userphone: (05251) 60-XXXX 
passportDigits:  
pin: CVBL7FKM4A6L 
street: Warburgerstr. 100 
plz: 33098 Paderborn 


Zertifikatsantrag erstellen und senden? [Y|n]
  • Bei Bestätigung mit Enter erstellt das Skript einen Schlüssel und einen zugehörigen Certificate Signing Request (CSR). Dieser wird automatisch zur CA übermittelt, daraufhin wird ein PDF antrag.pdf zurückgeliefert, das im gleichen Verzeichnis wie Key und CSR gespeichert wird.
  • Den Antrag drucken Sie bitte aus und geben ihn persönlich bei einer der Registrierungsstellen der CA der Universität Paderborn ab (siehe unten).
  • Das Zertifikat bekommen Sie dann per Mail zugeschickt.

Schritt-für-Schritt-Anleitung (manuell)[Bearbeiten | Quelltext bearbeiten]

  • Laden Sie den CSR mit dem neuen(!) Webinterface der CA der Universität Paderborn G2 unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der Liste für verantworliche Personen entsprechen.

Bei der Beantragung von Serverzertifikaten *muss* einer Veröffentlichung zugestimmt werden. Siehe: https://blog.pki.dfn.de/2018/01/certificate-transparency-in-der-dfn-pki/

  • Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der CA der Universität Paderborn. Sie benötigen zur Authentifizierung einen amtlichen, gültigen Lichtbildausweis.
    • Am Campus: IMT ServicePoint N5.344, Mo-Fr 8.30h - 15.30h, Tel. 5544, E-Mail imt@uni-paderborn.de
    • Fürstenallee: Michael Utermöhle (Raum F0.116, Tel. 6666) oder Tobias Schultz-Friese (Mo/Mi/Fr: Raum F2.215, Tel. 6664)
  • Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per E-Mail zugesandt.

Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: imt@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des IMT

Das IMT:Notebook-Café (Raum I0.401) bietet in der vorlesungsfreien Zeit nur eingeschränkten Support

Mo Di-Do Fr
Vor-Ort-Support - 09-13 Uhr -
Telefonsupport 08:30-13 Uhr & 13:30-15 Uhr 08:30-13 Uhr

Das IMT:Servicecenter Medien auf H1 hat aktuell von Montag bis Freitag von 08:00-13:00 Uhr geöffnet.


Cookies helfen uns bei der Bereitstellung des IMT HilfeWikis. Bei der Nutzung vom IMT HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.