Anleitung Server-Zertifikat erstellen
Folgende Anleitung erklärt, wie Sie ein Server-Zertifikat erstellen können.
Bitte beachten SIe, dass der bzw. die Anfragende als IT-Beauftragte:r, EDV-Beauftragte:r, Zertifikatsbeauftragte:r gemeldet oder Mitarbeiter am URZ sein muss.
1a) Erzeugen Sie mit den Mitteln Ihres Serverbetriebssystems ein ECC Schlüsselpaar. Unsere CA unterstützt ECDSA-256 und ECDSA-384.
Unter Linux verwenden Sie für ECDSA-384:
openssl ecparam -out server.key -name secp384r1 -genkey
chmod og-rwx server.key
1b) Wenn Kompatibilität mit alten Systemen notwendig ist, kann alternativ ein RSA-Schlüsselpaar erstellt werden. Unsere CA unterstützt RSA-2048 und RSA-4096.
Unter Linux verwenden Sie für RSA-4096:
dd if=/dev/urandom of=randfile bs=4096 count=1
openssl genrsa -out server.key -rand randfile 4096
chmod og-rwx server.key
Wir stellen Zertifikate für alle FQDN aus, deren Root-Zone sich auf dem DNS der Universität befinden. Sie können dies unter Linux mit nslookup -type=ns zu-testende-domain.de feststellen. Werden hier die DNS-Server von belwue und der Universität ausgegeben, können wir für Sie Zertifikate ausstellen. Zertifikate mit IP-Adressen im CN oder den SAN können nicht beantragt werden.
2a) Zum Erstellen des CSR wird folgender Befehl genutzt:
openssl req -new -key server.key -out server.csr
Hierbei werden folgende Informationen benötigt:
- Land C=DE
- Provinz ST=Baden-Wuerttemberg
- Organisation O=Ruprecht-Karls-Universitaet Heidelberg
- „Common Name“ CN= (voll qualifizierter Servername wie im Nameserver)
2b) Wenn SAN eingesetzt werden, kann unsere Config-Datei heruntergeladen werden. Anschließend müssen darin sowohl der CN als auch alle SAN entsprechend angepasst werden. Hierbei ist darauf zu achten, dass der CN ebenfalls als erster SAN eingetragen werden muss. Der CSR selbst wird dann erstellt mit:
openssl req -new -key server.key -out server.csr -config server.conf
In beiden Fällen werden SHA-256, SHA-386 und SHA-512 von unserer CA unterstützt. Die Befehle oben nutzen den OpenSSL Standard SHA-256.
3) Kopieren Sie den Certificate Sign Request „server.csr“ auf Ihr lokales System und rufen Sie die universitäre Seite zum Beantragen von Serverzertifikaten „CertMine“ entweder aus dem Universitätsnetz oder dem VPN auf.
4) Hier melden Sie sich mit Ihrer ID, Ihrem Kennwort und einem Einmalkennwort (OTP) aus einem Token unserer MFA-Plattform an. Nur IT- bzw. EDV-Beauftragten, Zertifikatsbeauftragten und Mitarbeitern des URZ ist der Login gestattet.
Falls Sie KeePass als Token einsetzen, können Sie mit „{USERNAME}{TAB}{PASSWORD}{TAB}{TOTP}{ENTER}“ den Auto-Type-Vorgang konfigurieren.
5) Geben Sie nun über das Web-Fomular den abzugebenden CSR an. Anschließend klicken Sie auf die Schaltfläche "Absenden".
6) Prüfen Sie auf der folgenden Seite alle Angaben noch einmal genau auf ihre Richtigkeit. Wenn diesen korrekt sind, können Sie nun Ihren Antrag über die Schaltfläche „Einreichen“ zur weiteren Bearbeitung absenden.
7) Anschließend erscheint der Antrag als oberste Zeile in der Liste ihrer Anfragen. Daraufhin haben Sie die Möglichkeit weitere Zertifikate zu beantragen oder sich auszuloggen. Sobald das Zertifikat den Status „Verfügbar“ erreicht, können Sie es über die drei Download-Pfeile in der Zeile des entsprechenden Zertifikats rechts herunterladen. Hier stehen Ihnen die Optionen „Zertifikat (pem)“, „Zertifikat + Chain (pem)“ und „Zertifikat + Chain (pkcs7)“ in dieser Reihenfolge zur Verfügung.
8) Nach Abgabe des Antrags prüft das URZ den Antrag und gibt ihn im Normalfall bis zum nächsten Arbeitstag frei. Falls noch Unklarheiten bestehen, melden wir uns bei ihnen. Sobald wir den Antrag genehmigt haben, stellt die CA das Zertifikat aus und wir informieren Sie mit den Links zum Download über den Abschluss der Beantragung.
9) Die Zertifikats-Datei sowie evtl. die Zertifizierungsketten müssen anschließend auf den Server kopiert und dort in dem Webserver eingetragen werden.