Serverzertifikate erstellen: Unterschied zwischen den Versionen

Anleitung
Anleitung
Informationen
Betriebssystem	Alle
Service	Zertifizierungsinstanz
Interessant für	Bereiche
HilfeWiki des IMT der Uni Paderborn

Version vom 31. Januar 2023, 12:21 Uhr

Zertifizierungsinstanz

Allgemeine Informationen

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu openssl verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.

Voraussetzung[Bearbeiten | Quelltext bearbeiten]

Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn. Wir rufen dann zurück.

Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]

Melden Sie sich mit ssh bzw. putty auf sshgate.uni-paderborn.de an.
Rufen Sie openssl in folgender Form auf und ersetzen Sie
HOSTNAME.uni-paderborn.de (an beiden Positionen) und

HOSTNAME.upb.de (an einer Position) durch den konkreten Hostnamen.

Skript-Vorlage

openssl req -newkey rsa:4096 -out csr.pem -keyout key.pem -subj '/CN=HOSTNAME.uni-paderborn.de/O=Universität Paderborn/ST=Nordrhein-Westfalen/C=DE' -addext "subjectAltName = DNS:HOSTNAME.uni-paderborn.de,DNS:HOSTNAME.upb.de" && cat csr.pem

Geben Sie 2x ein frei wählbares Passwort ein, um den privaten Schlüssel später entschlüsseln zu können.
Kopieren sie die Ausgabe inkl. der Zeilen „-----BEGIN CERTIFICATE REQUEST-----“ und „-----END CERTIFICATE REQUEST-----".
Öffnen Sie folgende Webadresse: https://cert-manager.com/customer/DFN/ssl/upb
Klicken Sie den Button „Your Institution“.
Suchen Sie per „Add your Institution“ nach Paderborn und wählen Sie die Universität aus.
Melden Sie sich mit ihrem IMT Account und Passwort an.
Wählen Sie im Abschnitt „Select Enrollment Account“
unter Account „Universität Paderborn 01 Serverzertifikate“ aus

und bestätigen Sie mit „Next“.
Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
Senden Sie zum Abschluss das Formular per „Submit“ ab.

Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.

Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten ist es über den Link hinter dem Eintrag "as Certificate (w/ issuer after), PEM encoded:" zu laden.

Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 • Tel. Medien: +49 (5251) 60-2821 • E-Mail: imt@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des IMT

Das IMT:Notebook-Café (Raum I0.401) bietet in der vorlesungsfreien Zeit nur eingeschränkten Support

	Mo	Di-Do	Fr
Vor-Ort-Support	08:30-16 Uhr		08:30-14 Uhr
Telefonsupport	08:30-16 Uhr		08:30-14 Uhr

Das IMT:Servicecenter Medien auf H1 hat ab 8. April wieder von Montag bis Donnerstag von 08:00-16:00 Uhr und Freitags von 08:00 bis 14:30 Uhr geöffnet.

@@ Zeile 7: / Zeile 7: @@
 }}
 {{ambox
-|type=notice
+|type=speedy
-|text=Ab sofort führen die Links '''"Webinterface der CA der Universität Paderborn G2"''' zur '''"DFN-PKI Generation-2"'''
+|text=„Ab 2023 werden Serverzertifikate für das DFN vom Anbieter Sectigo im Rahmen des GÉANT TCS Programms bereitgestellt“
- siehe https://www.pki.dfn.de/faqpki/faq-generation-2/
 }}
 Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
@@ Zeile 15: / Zeile 14: @@
 == Was ist zu tun? ==
-* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu unser Skript '''imt-cert-cli''' verwenden, das auf dem Rechner '''sshgate.uni-paderborn.de''' installiert ist.
+* Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu openssl verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
-* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der CA der Universität Paderborn. Dieser Schritt wird vom obigen Skript bereits mit erledigt.
+* Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung über das Webformular von Sectigo.
-* Erhalten Sie Ihr fertiges Zertifikat per E-Mail.
+* Erhalten Sie Ihr fertiges Zertifikat nach der Freischaltung per E-Mail.
 == Voraussetzung ==
@@ Zeile 23: / Zeile 23: @@
-=== Schritt-für-Schritt-Anleitung (mit Skript) ===
+=== Schritt-für-Schritt-Anleitung ===
-* Melden Sie sich mit ''ssh'' bzw. ''putty'' auf '''sshgate.uni-paderborn.de''' an.
-* Rufen Sie das Skript '''imt-cert-cli''' ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei '''.imtcert''', die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld '''organizationalUnitName''' exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld '''afs_path''' muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen.
-* Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen. Sie können über Kommata getrennt noch weitere Aliasse mit aufnehmen. Grundsätzlich gehen auch IP-Adressen, allerdings müssen diese von der CA erst freigeschaltet werden, was einige Zeit (Tage bis Wochen) dauern kann. Es wird daher empfohlen, keine IP-Adressen mit ins Zertifikat aufnehmen zu lassen.
- odenbach@antares:~$ imt-cert-cli servername,alias
- countryName: DE
- organizationName: Universitaet Paderborn
- organizationalUnitName: Zentrum fuer Informations- und Medientechnologien (IMT)
- stateOrProvinceName: Nordrhein-Westfalen
- localityName: Paderborn
- commonName: servername.uni-paderborn.de
- emailAddress: webmaster@uni-paderborn.de
- Alternate:
- DNS:servername.uni-paderborn.de
- DNS:servername.upb.de
- DNS:alias.uni-paderborn.de
- DNS:alias.upb.de
- purpose: Web Server
- afs_path: /upb/groups/imt/data/Zertifikate/
- username:
- usermail:
- userunit: IMT Webmaster
- userphone: (05251) 60-XXXX
- passportDigits:
- pin: CVBL7FKM4A6L
- street: Warburgerstr. 100
- plz: 33098 Paderborn
- Zertifikatsantrag erstellen und senden? [Y|n]
-* Bei Bestätigung mit ''Enter '' erstellt das Skript einen Schlüssel und einen zugehörigen Certificate Signing Request (CSR). Dieser wird automatisch zur CA übermittelt, daraufhin wird ein PDF '''antrag.pdf''' zurückgeliefert, das im gleichen Verzeichnis wie Key und CSR gespeichert wird.
-* Den Antrag drucken Sie bitte aus und geben ihn persönlich bei einer der Registrierungsstellen der CA der Universität Paderborn ab (siehe unten).
-* Das Zertifikat bekommen Sie dann per Mail zugeschickt.
-=== Schritt-für-Schritt-Anleitung (manuell) ===
-* Erstellen Sie für Ihren Server einen (mindestens 2048 Bit großen) Schlüssel und einen dazu passenden Certificate Signing Request (CSR). Informationen dazu finden Sie in den [https://www.pki.dfn.de/index.php?id=faqpki DFN-PKI-FAQ] und in der [https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf Anleitung zur Nutzung von OpenSSL in der DFN-PKI].
-* Laden Sie den CSR mit dem neuen(!) [https://pki.pca.dfn.de/uni-paderborn-ca-g2/pub Webinterface der CA der Universität Paderborn G2] unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. ''' Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der [[Zertifizierungsinstanz Verantwortliche für Serverzertifikate|Liste]] für verantworliche Personen entsprechen'''.<br/>
-Bei der Beantragung von Serverzertifikaten <b>*muss*</b> einer Veröffentlichung zugestimmt werden.
+* Melden Sie sich mit ssh bzw. putty auf <code>sshgate.uni-paderborn.de</code> an.
-Siehe: https://blog.pki.dfn.de/2018/01/certificate-transparency-in-der-dfn-pki/
+* Rufen Sie openssl in folgender Form auf und ersetzen Sie
+*: <code>HOSTNAME.uni-paderborn.de</code> (an beiden Positionen) und
+*: <code>HOSTNAME.upb.de</code> (an einer Position) durch den konkreten Hostnamen.
+*: Skript-Vorlage
+ openssl req -newkey rsa:4096 -out csr.pem -keyout key.pem -subj '/CN=HOSTNAME.uni-paderborn.de/O=Universität Paderborn/ST=Nordrhein-Westfalen/C=DE' -addext "subjectAltName = DNS:HOSTNAME.uni-paderborn.de,DNS:HOSTNAME.upb.de" && cat csr.pem
-* Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der CA der Universität Paderborn. Sie benötigen zur Authentifizierung einen amtlichen, gültigen Lichtbildausweis.
+* Geben Sie 2x ein frei wählbares Passwort ein, um den privaten Schlüssel später entschlüsseln zu können.
-** Am Campus: IMT ServicePoint N5.344, Mo-Fr 8.30h - 15.30h, Tel. 5544, E-Mail [mailto:imt@uni-paderborn.de imt@uni-paderborn.de]
+* Kopieren sie die Ausgabe inkl. der Zeilen „'''-----BEGIN CERTIFICATE REQUEST-----'''“ und „'''-----END CERTIFICATE REQUEST-----'''".
-** Fürstenallee: Michael Utermöhle  (Raum F0.116, Tel. 6666) oder Tobias Schultz-Friese (Mo/Mi/Fr: Raum F2.215,  Tel. 6664)
+* Öffnen Sie folgende Webadresse: https://cert-manager.com/customer/DFN/ssl/upb
+* Klicken Sie den Button „'''Your Institution'''“.
+* Suchen Sie per „'''Add your Institution'''“ nach '''Paderborn''' und wählen Sie die Universität aus.
+* '''Melden Sie sich mit ihrem IMT Account und Passwort an.'''
+* Wählen Sie im Abschnitt „''Select Enrollment Account''“
+*: unter Account „Universität Paderborn 01 Serverzertifikate“ aus
+*: und bestätigen Sie mit „Next“.
+* Fügen Sie die CSR Zeichenfolge aus Ihrer Zwischenablage in das Feld „CSR“ ein und überprüfen Sie, dass nach verlassen des Feldes darunter alle Hostnamen für das Zertifikat erscheinen (.uni-paderborn.de und .upb.de Varianten).
+* Senden Sie zum Abschluss das Formular per „'''Submit'''“ ab.
+<br>
-* Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per E-Mail zugesandt.
+: '''Sobald Ihr Antrag freigegeben wurde, erhalten Sie Ihr Zertifikat per eMail in allen Varianten mit und ohne integrierte Zertifikatskette.'''
+: Für die meisten Dienste benötigen Sie das Zertifikat mit Chain in korrekter Reihenfolge. In der E-Mail, die Sie vom System erhalten ist es über den Link hinter dem Eintrag "''as Certificate (w/ issuer after), PEM encoded:''" zu laden.