Serverzertifikat erstellen und installieren
Studierende | Beschäftigte | Einrichtungen | stud. Gruppen |
---|
Diese Seite beschreibt, wie unter Linux/MacOSX und Windows Zertifikate für Server erstellt werden können. Eine Admin-übliche Technikversiertheit wird vorausgesetzt.
Allgemeine Bemerkungen
- Privater Schlüssel und Zertifikatsantrag sollten grundsätzlich auf dem genannten Rechner selbst erstellt werden. Dies vermeidet, dass etwa eine Arbeitsplatzfestplatte ausgemustert wird, auf der sich noch privater Schlüssel (und Zertifikat) für Server befinden.
- Ein Zertifikat kann mehrere DNS-Namen bezeugen. Sie können den Zertifikatsantrag der Einfachheit halber mit nur einem Namen erzeugen, das Hochladeformular lässt Sie noch zusätzliche Servernamen angeben.
- Wir empfehlen zur Zeit für das Schlüsselmaterial ECC-384, notfalls RSA-3072.
Erstellung von privatem Schlüssel und Zertifikatsantrag mit openssl (Linux/MacOS X)
Mit folgender Befehlszeile kann ein Schlüssel key.pem erzeugt werden. Der Schlüssel ist nicht passwortgeschützt und muss über andere technisch-organisatorische Maßnahmen vor Missbrauch geschützt werden, etwa indem er nur auf dem Zielserver vorhanden und dort mit entsprechend restriktiven Leserechten versehen ist.
openssl ecparam -name secp384r1 -genkey -out key.pem
Der Zertifikatsantrag request.pem wird ebenfalls mit openssl erzeugt. Bei CN ist der vollständige DNS-Name des Servers einzutragen. Soll das Zertifikat für mehrere Namen gelten, könnten weitere Namen später beim Hochladen angegeben werden.
openssl req -sha256 -new -key key.pem -out request.pem \ -subj '/C=DE/ST=Schleswig-Holstein/L=Kiel/O=Christian-Albrechts-Universitaet zu Kiel/CN=myserver.uni-kiel.de'
Erstellung von privatem Schlüssel und Zertifikatsantrag mit certreq.exe (Windows)
Vorbemerkung: es gibt für das Verfahren hier eine GUI, nämlich das MMC-Snapin "Zertifikate", dort unter "Weitere Aktionen", "Alle Aufgaben", "Erweiterte Vorgänge", "Benutzerdefinierte Anforderung erstellen…", bei den dort unter "Details" nötigen Einstellungen ist aber nicht offensichtlich, wie die eingedeutschten Begriffe zu den Eigenschaften der Zertifikatsanfrage korrelieren werden. Wir empfehlen deswegen das folgende Verfahren mit Konfiguration über eine Textdatei:
Erzeugen Sie auf dem Windows-Server, für den das Zertifikat gelten soll, eine Textdatei, die (abgesehen vom Servernamen, der natürlich angepasst werden muss, sowie u.U. dem Wert bei "Exportable") folgenden Inhalt hat:
; Ich bin machineconf.inf [Version] Signature="$Windows NT$" [NewRequest] Subject = "C=DE, ST=Schleswig-Holstein, L=Kiel, O=Christian-Albrechts-Universitaet zu Kiel, CN=myserver.uni-kiel.de" Exportable = FALSE ; Private key is not exportable KeyAlgorithm = "ECDSA_P384" KeyLength = 384 KeySpec = 0 ; KEX, SIGN MachineKeySet = True ; The key belongs to a computer SMIME = TRUE RequestType = PKCS10 HashAlgorithm = SHA256 KeyUsageProperty = 0x07 ; decrypt signing key-exchange KeyUsage = 0xA0 ; Digital Signature, Key Encipherment [Strings] szSUBJECT_ALT_NAME = "2.5.29.17" ;szMS_USER_PRINCIPAL_NAME = "1.3.6.1.4.1.311.20.2.3" szENHANCED_KEY_USAGE = "2.5.29.37" szCLIENT_AUTH = "1.3.6.1.5.5.7.3.2" szEMAIL_PROTN = "1.3.6.1.5.5.7.3.4" szSSH_CLIENT = "1.3.6.1.5.5.7.3.21" szSMARTCARD_LOGIN = "1.3.6.1.4.1.311.20.2.2" szWEBSERVER="1.3.6.1.5.5.7.3.1" [EnhancedKeyUsageExtension] OID = %szWEBSERVER% [Extensions] %szSUBJECT_ALT_NAME% = "{text}" _continue_ = "DNS=myserver.uni-kiel.de"
Über den Befehl certreq -new -machine machineconf.inf csr.pem
wird dann der Zertifikatsrequest csr.pem erzeugt, der beim DFN hochgeladen werden kann. Der private Schlüssel wird automatisch in den Untiefen der Betriebssystem-Innereien abgelegt. Das ausgestellte Zertifikat muss mit der Dateiendung .cer statt .pem versehen werden und kann dann der Doppelklick importiert werden, Windows erkennt dabei automatisch, zu welchem ausstehenden Zertifikatsantrag es gehört.
Stellen des Zertifikatsantrags bei Harica
Zum Stellen des Zertifikatsantrags muss bei unserem Anbieter Harica ein Account angelegt werden. Bitte geben Sie hier bevorzugt eine dienstliche Funktionsmailadresse an, denn Rückfragen und Erneuerungshinweise müssen unabhängig von Urlaubsvertretung etc. zeitnah bearbeitet werden.
Nach dem Anlegen des Accounts gelangen Sie auf das Dashboard des Anbieters. Hier sehen Sie eine Übersicht über ihre existierenden Zertifikate, sowohl für Server als auch ggf. für Ihre Mailadresse. Insbesondere können Sie hier nach abgeschlossenem Prozess ihr Serverzertifikat herunterladen.
Über den Punkt "Certificate Requests: Server" können Sie in einem mehrschrittigen Assistenten ihren Antrag stellen:
- Im ersten Schritt werden die Namen erfragt, auf die sich das Zertifikat beziehen soll. (Der hier mögliche "friendly name" dient ihrer Sortierung und wird nicht Teil des Zertifikats.)
- Im zweiten Schritt wird der Typ des Zertifikats erfragt. "For enterprises or organisations (OV)" ist hier im Regelfall die richtige Auswahl, das Zertifikat enthält dann die Information, dass es von der CAU ausgestellt wurde.
- Bestätigen Sie im dritten Schritt die Angaben zur Organisation, die im Zertifikat erscheinen werden. Eine Anpassung ist nicht möglich.
- Im vierten Schritt können Sie die bisher gemachten Angaben kontrollieren und müssen den Datenschutz- und Vertragsbedingungen von Harica zustimmen.
- Im fünften Schritt können Sie nun unter "Submit CSR manually" den nach obiger Anleitung erzeugten Zertifikatsrequest einfügen. (Der Request ist, seiner Endung zum Trotz, eine einfache und relativ kleine Textdatei, die Sie komplett in die Zwischenablage kopieren können.)
- Nach dem Absenden erscheint ihr Antrag nun im Dashboard unter "Pending Certificates". Nach der Freischaltung durch uns wandert er nach "Valid Certificates"; Sie werden durch eine automatische Mail "HARICA - Your certificate is ready" von HARICA Certificate Manager (CM) <noreply@harica.gr> über die Genehmigung informiert.
- Sie können gültige Zertifikate über das Dashboard herunterladen. Hierbei wird ihnen eine Vielzahl von Formaten angeboten, das in den allermeisten Fällen richtige ist "PEM bundle", das zusätzliche Informationen über den Zertifikatsaussteller HARICA enthält.