Serverzertifikat beantragen

Aus helpdesk
Wechseln zu: Navigation, Suche

Wenn Sie ein Serverzertifikat für einen an der FernUniversität in Hagen betriebenen Server benötigen gehen Sie wie folgt vor. Es ist nur ein Serverzertifikat pro Server/IP Adresse möglich.


Serverzertifikatsantrag über die DFN-PKI

Den Request können Sie auf der Seite der DFN-PKI ( https://pki.pca.dfn.de/fernuni-hagen-ca/cgi-bin/pub/pki?cmd=getStaticPage&name=index ) unter dem Reiter "Serverzertifikat" hochladen. Füllen Sie dort alle erforderlichen Felder aus und drucken Sie im nächsten Schritt den Zertifikatsantrag aus. Dieser Antrag muss uns beim ersten Zertifikatsrequest zusammen mit Ihrem Personalausweis vorgelegt werden (AVZ, Raum: A212), da wir Ihre Identität überprüfen müssen. Weitere Zertifikatsanträge können Sie uns dann zukünftig unterschrieben zuschicken.


UNIX Systeme (Private Key und Zertifikatsrequest erstellen)

Stellen Sie sicher das Sie OpenSSL ( www.openssl.org ) installiert haben und über ausreichende Rechte verfügen es zu verwenden. Sollte es sich nicht um das erste Serverzertifikat für einen Server handeln (z.B. eine Verlängerung), ist der "private Key" wahrscheinlich schon vorhanden. Sie können diesen erneut verwenden und somit direkt bei Schritt 2 starten.

Öffnen Sie dann eine Shell und gehen Sie folgendermaßen vor:

1.

openssl genrsa -out keyname.key 4096

Dieser Befehl erstellt den privat Key für den Webserver, mit dem auch das Request erstellt wird. Diesen Key auf keinen Fall weiter geben.

Achtung: SSH-Schlüssel können auch mit der Methode ssh-keygen erstellt werden. Diese Schlüssel werden aber vom DFN nicht angenommen, da der "Public Exponent" eines Schlüssels dort größer als 65535 sein muss.

2.

openssl req -new -sha256 -nodes -key keyname.key -out keyname.csr

Erstellt den Zertifikatsrequest, der bei unserer CA (siehe oben unter "Serverzertifikatsantrag über die DFN-PKI") eingereicht werden muss (Inhalt der Datei keyname.csr).

Nach der Bestätitgung des Befehls werden einige Angaben abgefragt. Bitte schreiben Sie alle Angaben bis auf das Land komplett aus. Beachten Sie auch das bei Common Name, der Servername für den das Zertifikat ausgestellt werden soll und unter dem auch z.B. der Webserver erreichbar ist, korrekt ausgefüllt werden.

Beispiel:

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Hagen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FernUniversitaet in Hagen
Organizational Unit Name (eg, section) []:Zentrum fuer Medien und IT
Common Name (eg, YOUR name) []:testserver.fernuni-hagen.de
Email Address []:webmaster@testserver.fernuni-hagen.de


Alternativ kann der Zertifikatsrequest auch in einer Zeile erstellt werden. Hierzu im Folgenden einfach die Fett markierten Felder anpassen.

   openssl req -new -sha256 -nodes \
     -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Medien und IT/CN=testserver.fernuni-hagen.de/emailAddress=webmaster@testserver.fernuni-hagen.de' \
     -key keyname.key > keyname.csr


Aktualisierung des Zertifikats am 11.09.2014 (Von bastian.ulke@fernuni-hagen.de) für Tomcat

1. Erzeugung eines Private Key mit

    openssl genrsa -out keyname.key 4096

2. Erzeugung eines Certificate Signature Request

   openssl req -new -key keyname.key -out keyname.csr

3. Einreichung am ZMI, signiertes Zertifikat:

   cert-6806287507805620-lg-es_fernuni-hagen_de.pem

4. Kovertierung von Private Key und Zertifikat in DER-Format

    openssl pkcs8 -topk8 -nocrypt -in keyname.key -inform PEM -out keyname.der -outform DER
   openssl x509 -in cert-6806287507805620-lg-es_fernuni-hagen_de.pem -inform PEM -out cert-6806287507805620-lg-es_fernuni-hagen_de.der -outform DER

5. Mit ImportKey einen neuen keystore erzeugen, der den privaten Schlüssel enthält:

  java ImportKey keyname.der  cert-6806287507805620-lg-es_fernuni-hagen_de.der
  ImportKey.class: (http://www.agentbob.info/agentbob/79-AB.html)

6. Passwörter ändern

    keytool -keypasswd -alias importkey -keystore keystore.ImportKey
    keytool  -storepasswd -keystore keystore.ImportKey

7. Neuen Keystore ins Root-Home-Verzeichnis kopieren

    cp keystore.ImportKey /root/.keystore

8. Tomcat neu starten.

 /usr/apache/tomcat55/bin/startup.sh

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

Ist dieser Artikel verständlich? Oder zu kurz? Oder zu lang? Ihre Meinung ist für uns wichtig. Wir freuen uns über Ihr Feedback!