Versionen im Vergleich

Alte Version 2

changes.mady.by.user Olaf Salchow

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Olaf Salchow

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Der folgende Abschnitt ist gedacht als Anleitung für Server-Administratoren, die eine abgesicherte Verbindung zu Ihrem Server einrichten wollen und dafür ein SSL-Zertifikat benötigen.

Voraussetzung für den Antrag ist, dass Sie bei Harica als Nutzer registriert werden. Dazu führen Sie bitte die ersten Schritte (Als Nutzer bei Harica registrieren) der Anleitung zum Beantragen der Nutzerzertifikate aus.

Zertifikatsrequest erstellen

...

Erzeugen Sie einen Zertifizierungs-Request (web.pem) und den dazugehörigen privaten Schlüssel (web.key):

Codeblock
openssl req -newkey rsa:20484096 -out web.pem -keyout web.key

Geben Sie, wenn Sie danach gefragt werden, die folgenden Daten einein (Beispiel! alles ändern,  wo die Zeichenkette "ihr" drin vorkommt):

Codeblock
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Sachsen-Anhalt
Locality Name (eg, city) []:Magdeburg bzw. Stendal
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hochschule Magdeburg-Stendal
Organizational Unit Name (eg, section) []:Ihr Fachbereich
Common Name (eg, YOUR name) []:ihr.server.h2.de
Email Address []:ihre.adresse@h2.de

...

Codeblock
openssl rsa -in web.key -out server.key


Der private Schlüssel server.key kann jetzt ohne Passwort benutzt werden.

...

Erstellen Sie eine Datei req.conf mit folgendem Inhalt (Beispiel! alles ändern, was Sie ändern müssen/wollen  wo die Zeichenkette "ihr" drin vorkommt):


Codeblock
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = DE
ST = Sachsen-Anhalt
L = Magdeburg
O = Hochschule Magdeburg-Stendal
OU = Ihr Bereich
CN = ihr.server.h2.de
emailAddress =ihre.adresse@h2.de

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = ihr.server.h2.de
DNS.2 = ihr.server.hs-magdeburg.de
DNS.3 = www.ihr.server.h2.de
...

...

Erzeugen Sie einen Zertifizierungs-Request (web.pem) und den dazugehörigen privaten Schlüssel (web.key):

Codeblock
openssl req -newkey rsa:20484096 -out web.pem -keyout web.key -config ./req.conf

...

Codeblock
openssl rsa -in web.key -out server.key


Der private Schlüssel server.key kann jetzt ohne Passwort benutzt werden.

Der private Schlüssel verbleibt bei Ihnen, der Zertifizierungsrequest (im Beispiel oben die Datei web.pem) wird im nächsten Schritt für den Antrag benötigt.

Zertifikatsrequest einreichen

  • Öffnen Sie die Webseite https://cert-manager.com/customer/DFN/ssl/sslsaml
  • Wählen Sie den Identity-Provider "Your Instituion" und dort die Hochschule Magdeburg-Stendal (Magdeburg-Stendal University of Applied Sience)
  • Authentifizieren Sie sich mit Ihren Hochschul-Accountdaten
  • Bestätigen Sie die zu übermittelnden Daten, Sie gelangen direkt zur Eingabe des Zertifikatrequest (wenn Sie Ihr erstes Zertifikat beantragen) oder erhalten eine Übersicht aller von Ihnen verwalteten Zertifikate
  • Wählen Sie die Schaltfläche "Enrol Certificate" (nur nötig, wenn Sie in der Liste der verwalteten Zertifikate sind)
  • Wählen Sie unter "Select Enrollment Account" "Serverzertifizierung Hochschule Magdeburg-Stendal" und bestätigen Sie mit "Next"
  • Zertifikatsprofil und Gültigkeitsdauer können nicht geändert werden. Laut Sectigo brauchen keine spezielleren Profile ("Webserver", "Radius", ...) gewählt werden.
  • Laden Sie mit "Upload CSR" ihren im ersten Schritt erstellten Zertifikatsrequest hoch.
  • Ihre im CSR angegebenen Daten werden angezeigt. Wenn weitere "Altenative Names" benötigt werden, können diese mit Komma getrennt im Feld "Subject Alternative Names" angegeben werden.
  • Im Feld "External Requester" können mit Komma getrennt E-Mail-Adressen angegeben werden, die über die Beantragung per E-Mail unterrichtet werden sollen (z.B. "ra@hs-magdeburg.de") 
  • Mit Auto renew legen Sie fest, ob und wieviele Tage im Voraus Sie über den Ablauf des Zertifikates per E-Mail informiert werden wollen.
  • Formular abschicken!

Im Anschluss erhalten Sie eine E-Mail, sobald Ihr Request von einem Administrator bestätigt wurde und eine weitere mit Downloadlinks, wo Sie sich das Zertifikat in dem von Ihnen benötigten Format herunterladen können.

Und wenn Sie sich fragen: War das jetzt schon alles? Kein Papierkram?

Image Added

  • Klicken Sie auf "Server" um ein Serverzertifikat zu beantragen

Image Added

  • Vergeben Sie einen "Friendly name" unter dem dieses Zertifikat in Ihrem Dashboard angezeigt wird.
  • Vergeben Sie den DNS-Namen für das Zertifikat
  • Entscheiden Sie, ob auch für den DNS-Namen www.DNS-Name automatisch erzeugt werden soll
  • Fügen Sie bei Bedarf weitere DNS-Namen, für die das Zertifikat gelten soll. Achtung: im Moment werden die DNS-Namen NICHT automatisch aus dem im ersten Schritt erzeugten Zertifikats-Request übernommen.
  • Bestätigen Sie die Domains mit "Next"

Image Added

  • Wählen Sie "For enterprises or organizations (OV)" und  bestätigen Sie mit "Next"
  • Wählen Sie in den nächsten Ansichten zur Bestätigung ebenfalls "Next"
  • Bestätigen Sie, dass Sie die Nutzungsbedingungen und Zertifizierungsrichtlinien gelesen haben und anerkennen

Image Added

  • Wählen Sie "Submit CSR manually" und kopieren Sie den Inhalt des Zertifikat-Requests (im ersten Schritt erstellte Datei web.pem) in das Textfeld
  • Bestätigen Sie noch einmal, dass Sie die Nutzungsbedingungen und Zertifizierungsrichtlinien gelesen haben und anerkennen und schicken den Antrag mit "Submit request" ab.

Im Dashboard erschein ein "Pending Certificat" das anzeigt, dass noch ein Administrator Ihren Antrag bestätigen muss.

Ist dies geschehen, erhalten Sie eine E-Mail als Bestätigung und im Dashboard wir aus dem Request ein "Valid Certificate"

Image Added

Mit den beiden Symbolen rechts können Sie Ihr Zertifikat in verschiedenen Formaten herunterladen, einige Einstellungen ändern oder das Zertifikat zurückziehen. Für die Verwendung in Webservern (apache, nginx) sollten Sie beim Download das Format "PEM bundle" wählen.

Image Added

Eine wichtige Einstellung finden Sie im Reiter Notifications. Hier können Sie weitere E-Mail-Adressen festlegen, die über das baldige Ablaufen des Zertifikates informiert werden.Ja, es sind hiermit keine Formulare mehr notwendig!