Hauptinhalt
Topinformationen
Beantragen eines Serverzertifikats
Alle Angehörigen der Universität Osnabrück sind berechtigt, über das Sectigo TCS System Serverzertifikate zu beantragen. Serverzertifikate werden nur für Server innerhalb der Universität ausgestellt und nicht für private Server. Dieser Text beschreibt die Beantragung eines Serverzertifikates mit einer eigenen CSR-Datei (Serverzertifikat-Requestdatei) im pem-Format, die zuvor mit einem generierten privaten Server-Schlüssel erzeugt wurde.
Hinweis: Die vom Sectigo TCS System ausgestellten Serverzertifikate haben eine Laufzeit von 1 Jahr! Die Antragsstellung, die Genehmigung sowie der Download des Serverzertifikats erfolgen online.
Leitfaden
- Erzeugen eines privaten Schlüssels
- Erzeugen des Serverzertifikat-Requests
- Beantragen des Serverzertifikats und Upload des Serverzertifikat-Requests
- Ausstellen des Serverzertifikats
Erzeugen eines privaten Schlüssels
Um einen Request für ein Serverzertifikat zu erzeugen, muss, sofern noch nicht geschehen,
ein privater Schlüssel generiert werden.
Im folgenden Beispiel wird mit der Software openssl ein
privater Schlüssel für einen Server generiert.
Die Open-Source Software openssl ist für alle gängigen Betriebssysteme
erhältlich (https://www.openssl.org).
| openssl-Befehl zur Erzeugung des privaten Schlüssels |
| openssl genrsa -des3 -out /etc/openssl/private/mein-server-key.pem 4096 |
Hinweis:
- Die im Beispiel angegebenen Pfade müssen je nach Installation und Konfiguration des openssl-Programms angepasst werden.
- Die Schlüssellänge muss mindestens 3072 Bit betragen, besser wie im Beispiel 4096 Bit
- Der private Schlüssel darf nie an Dritte weitergegeben werden.
Erzeugen des Serverzertifikat-Requests
Mithilfe des privaten Schlüssels werden der Request und der öffentliche Schlüssel für das Serverzertifikat generiert. Das folgende Beispiel benutzt den zuvor generierten privaten Schlüssel mein-server-key.pem, um den Request mein-server-req.pem zu erzeugen.
Hinweis: Die im folgenden Beispiel angegebenen Pfade müssen je nach
Installationsort des openssl-Tools und dessen Konfiguration angepasst werden.
| openssl Befehl zur Erzeugung des Requests und des öffentlichen Schlüssels |
| openssl req -new -sha1 -key /etc/openssl/private/mein-server-key.pem -out /etc/openssl/req/mein-server-req.pem |
Der openssl req-Befehl erwartet jetzt die Eingabe der in der Liste aufgeführten Attribute. Diese müssen im Request korrekt enthalten sein.
| Attribut | Werte | Im Antrag angezeigt mit folgendem Kürzel | Erläuterung |
| Country Name (2 letter code) | DE | C | muss DE sein |
| State or Province Name (full name) | Niedersachsen | ST | muss Niedersachsen sein |
| Locality Name (eg, city) | Osnabrueck | L | muss Osnabrueck sein |
| Organization Name | Universitaet Osnabrueck | O | muss Universitaet Osnabrueck sein |
| Organizational Unit Name | OU | muss leer bleiben | |
| common name | Beispielwert, bitte anpassen: mein-server.rz.uni-osnabrueck.de |
CN | vollqualifizierter Servername |
| E-Mail Address | muss leer bleiben |
Beantragen des Serverzertifikats und Upload des Serverzertifikat-Requests
Um ein Serverzertifikat mit der zuvor erzeugten Requestdatei (hier: mein-server-req.pem) zu beantragen, wird die folgende Webseite aufgerufen:
https://cert-manager.com/customer/DFN/ssl/sslsaml
Hier ist die Schaltfläche Your Institution auszuwählen.
Auf der Formularseite Find your Institution wird in das Suchfeld Universität Osnabrück eingegeben. Anschließend ist im unteren Bereich des Formulars auf die Schaltfläche Universität Osnabrück zu klicken.
Der folgende Anmeldebildschirm erscheint. Hier werden die Anmeldedaten Benutzerkennung (hier: xmuster) und Passwort erwartet. Die Authentifizierung startet über einen Klick auf den Anmelden Button.
Auf der Formularseite "SSL Certificate Enrollment" wird in der Kategorie "Select Enrollment Account" der Account "Universität Osnabrück SSL Server" ausgewählt. Über Next startet der nächste Dialogschritt.
Das Formular zeigt sind die folgenden vorbesetzten Felder:
- Organization
- Department
- E-Mail (E-Mail Adresse des Antragstellers)
- Das Profil des Zertifikats
- Die Gütigkeitsdauer des Zertifikats
Über die Schaltfläche Upload CSR wird jetzt die Requestdatei (hier: mein-server-req.pem) hochgeladen.
Im unteren Teil der Webseite wird der Common Name des beantragten Zerifikats angezeigt. Dieser wurde
aus dem Request übernommen.
Das Eingabefeld Subject Alternative Names erlaubt die Eingabe weiterer
alternativer Servernamen.
Über die Schatfläche Auto Renew kann eine automatische
Erneuerung des Zertifikates (hier: 30 Tage vor Ablauf) eingestellt werden.
Über die Schaltfläche Submit wird der Antrag auf ein Serverzertifikat an Sectigo übermittelt.
Der Zertifikatsrequest wird jetzt im Sectigo Certificate Manager angezeigt und die Webseite kann verlassen werden.
Ausstellen des Serverzertifikats
Sectigo informiert die antragstellende Person per E-Mail, sobald das Zertifikat ausgestellt ist. In der E-Mail befinden sich die Links zum Download des Zertifikats und der Zertifikatskette.
