| Zeile 29: | Zeile 29: | ||
* Rufen Sie das Skript '''imt-cert-cli''' ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei '''.imtcert''', die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld '''organizationalUnitName''' exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld '''afs_path''' muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen. | * Rufen Sie das Skript '''imt-cert-cli''' ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei '''.imtcert''', die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld '''organizationalUnitName''' exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld '''afs_path''' muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen. | ||
| − | * Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen. Sie können über Kommata getrennt noch weitere Aliasse mit aufnehmen, | + | * Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen. Sie können über Kommata getrennt noch weitere Aliasse mit aufnehmen. Grundsätzlich gehen auch IP-Adressen, allerdings müssen diese von der CA erst freigeschaltet werden, was einige Zeit (Tage bis Wochen) dauern kann. Es wird daher empfohlen, keine IP-Adressen mit ins Zertifikat aufnehmen zu lassen. |
| − | odenbach@antares:~$ imt-cert-cli servername, | + | odenbach@antares:~$ imt-cert-cli servername,alias |
| Zeile 44: | Zeile 44: | ||
DNS:servername.uni-paderborn.de | DNS:servername.uni-paderborn.de | ||
DNS:servername.upb.de | DNS:servername.upb.de | ||
| − | + | DNS:alias.uni-paderborn.de | |
| + | DNS:alias.upb.de | ||
purpose: Web Server | purpose: Web Server | ||
afs_path: /upb/groups/imt/data/Zertifikate/ | afs_path: /upb/groups/imt/data/Zertifikate/ | ||
Version vom 10. September 2019, 12:16 Uhr
Allgemeine Informationen
| Anleitung | |
|---|---|
| Informationen | |
| Betriebssystem | Alle |
| Service | Zertifizierungsinstanz |
| Interessant für | Bereiche |
| HilfeWiki des ZIM der Uni Paderborn | |
 | Ab sofort führen die Links "Webinterface der CA der Universität Paderborn G2" zur "DFN-PKI Generation-2"
siehe https://www.pki.dfn.de/faqpki/faq-generation-2/ |
Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn die SSL-Zertifizierung von Servern.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- Erstellen Sie für Ihren Server einen mindestens 2048 Bit großen Schlüssel. Sie können dazu unser Skript imt-cert-cli verwenden, das auf dem Rechner sshgate.uni-paderborn.de installiert ist.
- Beantragen Sie mit Hilfe eines passenden Certificate Signing Request die Registrierung an der CA der Universität Paderborn. Dieser Schritt wird vom obigen Skript bereits mit erledigt.
- Erhalten Sie Ihr fertiges Zertifikat per E-Mail.
Voraussetzung[Bearbeiten | Quelltext bearbeiten]
- Da nur berechtigte Personen für einen angegebenen Bereich ein Serverzertifikat beantragen können, kontrollieren Sie zunächst, ob Sie die entsprechenden Berechtigungen haben. Die CA der Universität Paderborn führt dazu eine Liste der Bereiche bzw. Abteilungen der Universität Paderborn und der jeweils für die Beantragung von Serverzertifikaten berechtigten Personen. Um sich für Ihren Bereich auf der Liste zu registrieren, senden Sie bitte eine E-Mail mit Ihren Kontaktdaten an die CA der Universität Paderborn. Wir rufen dann zurück.
Schritt-für-Schritt-Anleitung (mit Skript)[Bearbeiten | Quelltext bearbeiten]
- Melden Sie sich mit ssh bzw. putty auf sshgate.uni-paderborn.de an.
- Rufen Sie das Skript imt-cert-cli ohne Parameter auf. Das Skript erzeugt eine Konfigurationsdatei .imtcert, die Sie nun an Ihre Gegebenheiten anpassen müssen. Insbesondere muss das Feld organizationalUnitName exakt den Bereichsnamen enthalten, für den Sie berechtigt sind, Zertifikate zu beantragen. Das Feld afs_path muss den Pfad enthalten, in dem der Key, der Request und der Antrag als PDF gespeichert werden sollen.
- Rufen Sie nun das Skript erneut auf, diesmal mit dem zu zertifizierenden Hostnamen als Parameter. Wenn Sie dabei die Domäne "uni-paderborn.de" bzw. "upb.de" weglassen, beantragt das Skript automatisch ein Zertifikat für beide alternativen Namen. Sie können über Kommata getrennt noch weitere Aliasse mit aufnehmen. Grundsätzlich gehen auch IP-Adressen, allerdings müssen diese von der CA erst freigeschaltet werden, was einige Zeit (Tage bis Wochen) dauern kann. Es wird daher empfohlen, keine IP-Adressen mit ins Zertifikat aufnehmen zu lassen.
odenbach@antares:~$ imt-cert-cli servername,alias countryName: DE organizationName: Universitaet Paderborn organizationalUnitName: Zentrum fuer Informations- und Medientechnologien (IMT) stateOrProvinceName: Nordrhein-Westfalen localityName: Paderborn commonName: servername.uni-paderborn.de emailAddress: webmaster@uni-paderborn.de Alternate: DNS:servername.uni-paderborn.de DNS:servername.upb.de DNS:alias.uni-paderborn.de DNS:alias.upb.de purpose: Web Server afs_path: /upb/groups/imt/data/Zertifikate/ username: usermail: userunit: IMT Webmaster userphone: (05251) 60-XXXX passportDigits: pin: CVBL7FKM4A6L street: Warburgerstr. 100 plz: 33098 Paderborn Zertifikatsantrag erstellen und senden? [Y|n]
- Bei Bestätigung mit Enter erstellt das Skript einen Schlüssel und einen zugehörigen Certificate Signing Request (CSR). Dieser wird automatisch zur CA übermittelt, daraufhin wird ein PDF antrag.pdf zurückgeliefert, das im gleichen Verzeichnis wie Key und CSR gespeichert wird.
- Den Antrag drucken Sie bitte aus und geben ihn persönlich bei einer der Registrierungsstellen der CA der Universität Paderborn ab (siehe unten).
- Das Zertifikat bekommen Sie dann per Mail zugeschickt.
Schritt-für-Schritt-Anleitung (manuell)[Bearbeiten | Quelltext bearbeiten]
- Erstellen Sie für Ihren Server einen (mindestens 2048 Bit großen) Schlüssel und einen dazu passenden Certificate Signing Request (CSR). Informationen dazu finden Sie in den DFN-PKI-FAQ und in der Anleitung zur Nutzung von OpenSSL in der DFN-PKI.
- Laden Sie den CSR mit dem neuen(!) Webinterface der CA der Universität Paderborn G2 unter "Serverzertifikat" hoch und füllen Sie das Web-Formular entsprechend aus. Die Angaben zu Kontaktdaten und Abteilung im Web-Formular müssen den Daten aus der Liste für verantworliche Personen entsprechen.
Bei der Beantragung von Serverzertifikaten *muss* einer Veröffentlichung zugestimmt werden. Siehe: https://blog.pki.dfn.de/2018/01/certificate-transparency-in-der-dfn-pki/
- Drucken Sie die Teilnehmererklärung aus und vereinbaren Sie per E-Mail einen Termin mit einer der Registrierungsstellen der CA der Universität Paderborn. Am Campus können Sie sich beim IMT registrieren (schreiben Sie an IMT@uni-paderborn.de). Bringen Sie Ihren gültigen Personalausweis oder Reisepass zur Registrierung mit.
- Wenn die Registrierung an der Fürstenallee erfolgen soll, können Sie dies direkt bei Herrn Utermöhle (Raum F0.116, Tel. 6666) oder Herrn Schultz-Friese (Mo/Mi/Fr: Raum F2.224, Tel. 6664).
- Nach erfolgter Registrierung wird Ihnen das fertige Zertifikat per E-Mail zugesandt.