Serverzertifikat beantragen: Unterschied zwischen den Versionen

Aus helpdesk
Wechseln zu: Navigation, Suche
 
Zeile 43: Zeile 43:
 
Locality Name (eg, city) []:Hagen
 
Locality Name (eg, city) []:Hagen
 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FernUniversitaet in Hagen
 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FernUniversitaet in Hagen
Organizational Unit Name (eg, section) []:Zentrum fuer Medien und IT
+
Organizational Unit Name (eg, section) []:Zentrum fuer Digitalisierung und IT
 
Common Name (eg, YOUR name) []:testserver.fernuni-hagen.de
 
Common Name (eg, YOUR name) []:testserver.fernuni-hagen.de
 
Email Address []:webmaster@testserver.fernuni-hagen.de
 
Email Address []:webmaster@testserver.fernuni-hagen.de
Zeile 52: Zeile 52:
  
 
     openssl req -new -sha256 -nodes \
 
     openssl req -new -sha256 -nodes \
       -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Medien und IT/CN='''testserver.fernuni-hagen.de'''/emailAddress='''webmaster@testserver.fernuni-hagen.de'''' \
+
       -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Digitalisierung und IT/CN='''testserver.fernuni-hagen.de'''/emailAddress='''webmaster@testserver.fernuni-hagen.de'''' \
 
       -key private.key > cert.csr
 
       -key private.key > cert.csr
  
Zeile 58: Zeile 58:
  
 
     openssl req -new -sha256 -nodes \
 
     openssl req -new -sha256 -nodes \
       -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Medien und IT/CN='''testserver.fernuni-hagen.de'''/emailAddress='''webmaster@testserver.fernuni-hagen.de'''' \
+
       -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Digitalisierung und IT/CN='''testserver.fernuni-hagen.de'''/emailAddress='''webmaster@testserver.fernuni-hagen.de'''' \
 
       -addext 'subjectAltName = DNS:'''testserver-2ter-name.fernuni-hagen.de'''' \
 
       -addext 'subjectAltName = DNS:'''testserver-2ter-name.fernuni-hagen.de'''' \
 
       -key private.key > cert.csr
 
       -key private.key > cert.csr

Aktuelle Version vom 7. Juni 2021, 14:50 Uhr

Beantragungsablauf über die DFN-PKI

  1. Ein Zertifikatsrequest '(Certificate Signing Request - CSR)' erstellen
  2. Diesen auf der Seite des DFNs hochladen: https://pki.pca.dfn.de/fernuni-hagen-ca-g2/pub
    1. Reiter 'Serverzertifikat' anklicken
    2. erstelltes Zertifikatsrequest hochladen und Formular ausfüllen
    3. Zertifikatsantrag PDF runterladen
  3. Zertifikatsantrag PDF ausdrucken, ausfüllen und unterschreiben
    1. Den unterschriebenen Antrag dem CA-Team zuschicken (Daniel Löffler / Christoph Heikamp, AVZ, Raum A212)
    2. Corona: Zertifikatsantrag einscannen oder gut leserlich fotografieren und als Mailanhang an caadmin@fernuni-hagen.de schicken
  4. Auf das Zertifikat warten
    1. Zertifikat und Key (vom generieren des Zertifikatsrequests) auf Server einbinden
    2. Wichtig: Zertifikatskette muss ebenfalls auf dem Server eingebunden werden: https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt

Zertifikatsrequest (Certificate Signing Request - CSR) auf UNIX Systemen erstellen

Stellen Sie sicher das Sie OpenSSL installiert haben (Shell: 'openssl version') und über ausreichende Rechte verfügen es zu verwenden. Sollte es sich nicht um das erste Serverzertifikat für einen Server handeln (z.B. eine Verlängerung), ist der 'private Key' wahrscheinlich schon vorhanden. Sie können diesen erneut verwenden und somit direkt bei Schritt 2 starten.

Öffnen Sie dann eine Shell und gehen Sie folgendermaßen vor:

1.

openssl genrsa -out private.key 4096

Dieser Befehl erstellt den 'private Key' für das Zertifikat, mit dem auch der Request erstellt wird und der nachher auch auf dem Server gebraucht wird. Diesen Key auf keinen Fall weitergeben!

2.

openssl req -new -sha256 -nodes -key private.key -out cert.csr

Der Befehl erstellt den Zertifikatsrequest (CSR), der bei unserer CA (siehe oben) eingereicht werden muss (Inhalt der Datei cert.csr).

Nach der Bestätigung des Befehls werden einige Angaben abgefragt. Bitte schreiben Sie alle Angaben bis auf das Land komplett aus. Beachten Sie, dass bei 'Common Name' der Servername für den das Zertifikat ausgestellt werden soll und unter dem auch z.B. der Webserver erreichbar ist, korrekt ausgefüllt ist!

Beispiel:

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Hagen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FernUniversitaet in Hagen
Organizational Unit Name (eg, section) []:Zentrum fuer Digitalisierung und IT
Common Name (eg, YOUR name) []:testserver.fernuni-hagen.de
Email Address []:webmaster@testserver.fernuni-hagen.de


Alternativ kann der Zertifikatsrequest (CSR) auch in einer Zeile erstellt werden. Hierzu im Folgenden einfach die fett markierten Felder anpassen:

   openssl req -new -sha256 -nodes \
     -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Digitalisierung und IT/CN=testserver.fernuni-hagen.de/emailAddress=webmaster@testserver.fernuni-hagen.de' \
     -key private.key > cert.csr

Sollen weiter Namen vom Zertifikat abgedeckt werden, müssen diese hier angegeben werden:

   openssl req -new -sha256 -nodes \
     -subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Digitalisierung und IT/CN=testserver.fernuni-hagen.de/emailAddress=webmaster@testserver.fernuni-hagen.de' \
     -addext 'subjectAltName = DNS:testserver-2ter-name.fernuni-hagen.de' \
     -key private.key > cert.csr


Aktualisierung des Zertifikats am 11.09.2014 (Von bastian.ulke@fernuni-hagen.de) für Tomcat

1. Erzeugung eines Private Key mit

    openssl genrsa -out keyname.key 4096

2. Erzeugung eines Certificate Signature Request

   openssl req -new -key keyname.key -out keyname.csr

3. Einreichung am ZMI, signiertes Zertifikat:

   cert-6806287507805620-lg-es_fernuni-hagen_de.pem

4. Kovertierung von Private Key und Zertifikat in DER-Format

    openssl pkcs8 -topk8 -nocrypt -in keyname.key -inform PEM -out keyname.der -outform DER
   openssl x509 -in cert-6806287507805620-lg-es_fernuni-hagen_de.pem -inform PEM -out cert-6806287507805620-lg-es_fernuni-hagen_de.der -outform DER

5. Mit ImportKey einen neuen keystore erzeugen, der den privaten Schlüssel enthält:

  java ImportKey keyname.der  cert-6806287507805620-lg-es_fernuni-hagen_de.der
  ImportKey.class: (http://www.agentbob.info/agentbob/79-AB.html)

6. Passwörter ändern

    keytool -keypasswd -alias importkey -keystore keystore.ImportKey
    keytool  -storepasswd -keystore keystore.ImportKey

7. Neuen Keystore ins Root-Home-Verzeichnis kopieren

    cp keystore.ImportKey /root/.keystore

8. Tomcat neu starten.

 /usr/apache/tomcat55/bin/startup.sh

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

Ist dieser Artikel verständlich? Oder zu kurz? Oder zu lang? Ihre Meinung ist für uns wichtig. Wir freuen uns über Ihr Feedback!