Beantragung eine Serverzertifikats
1. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifikatantrags
Die Erzeugung eines Schlüsselpaares und die Erstellung des Zertifikatsantrags (Certificate Signing Request, CSR) kann mit den Tools der jeweiligen Serversoftware oder mit OpenSSL durchgeführt werden. Es wird dabei die Konfigurationsdatei openssl.config benötigt:
Dabei sind folgende Werte zu beachten:
- Der private Schlüssel sollte eine Länge von 2048 Bit haben
- Der bei der Erstellung des CSR anzugebende eindeutige Name (Distinguished Name, DN) muss folgende Teile enthalten:
C=DE
O=GridGermany
OU=Universitaet Wuerzburg
OU=<Fachbereich/zentrale Einrichtung>
CN=<vollständiger DNS-Name des Serverdienstes>
Die Liste der in Zertifikaten möglichen OU-Bezeichner können Sie hier anzeigen lassen.
- Als E-Mail-Adresse sollte eine gültige Funktionaladresse angegeben werden. D.h. keine personenbezogene Mailadresse, da sich die Zuständigkeit für den Serverdienst während der Zertifikatslaufzeit durchaus ändern kann.
1) Erzeugen des privaten/öffentlichen Schlüssels
$ openssl genrsa -rand /dev/urandom -des3 -out key.pem 2048
2) CSR erstellen
Beispiel: Erstellung eines CSR für den Dienst "www.rz.uni-wuerzburg.de" mit OpenSSL:
$ openssl req -new -config openssl.config -sha1 -key key.pem -out www_rz_uniwue.pem
Enter pass phrase for key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
EUGridPMA registered DFN-PKI Grid Identifier [GridGermany]:
Teilnehmende Einrichtung [Universitaet Wuerzburg]:
Organizational Unit Name (mandatory; Institut / Abteilung) []:Rechenzentrum
Common Name (mandatory; eg, YOUR firstname(s) lastname) []:www.rz.uni-wuerzburg.de
Email Address (mandatory; eg. YOUR email address) []:webmaster@rz.uni-wuerzburg.de
2b) Anzeigen des CSR
$ openssl req -noout -text -in www_rz_uniwue.pem
2. Beantragen des Zertifikats bei der GRID-CA
Alle zur Zertifizierung benötigten Funktionen befinden sich auf den Webseiten der GRID-CA
1. Gehen Sie dort links oben auf "Zertifikate".
2. Wählen Sie anschließend den Punkt "Serverzertifikat" eine Zeile darunter.
3. Füllen Sie das nun erscheinende Formular komplett aus.
Verwenden Sie bitte auf der Eingabemaske keine nationalen Sonderzeichen!
Ersetzen Sie nach folgenden Regeln:
> erlaubte Zeichen: a-z A-Z 0-9 ' ( ) + , - . / : = ? Leerzeichen
> deutsche Sonderzeichen ersetzen Sie durch die deutsche Umschreibung (ä -> ae, Ä -> Ae, ß -> ss usw.)
> andere Sonderzeichen ersetzen Sie durch den betreffenden Buchstaben ohne Akzent
3.1 Wählen sie die zuvor erstellte PEM-Datei aus.
3.2 Bestimmen Sie den Einsatzzweck des Zertifikats.
3.3 Tragen Sie die E-Mail-Adresse ein, auf die das Zertifikat ausgestellt werden soll.
3.4 Geben Sie Ihren Vor- und Nachnamen an.
3.5 Geben Sie Ihre Abteilung an.
3.6 Tragen Sie zu unserer Information Ihre E-Mail- Adresse, Abteilung sowie Telefonummer ein, unter der ein Ansprechpartner für dieses Zertifikat erreichbar ist.
3.7 Tippen Sie ein Passwort ein, mit dem das Zertifikat ggf. gesperrt werden kann. Notieren Sie sich diese PIN!
3.8 Setzen Sie ein Häkchen, um der Zertifizierungsrichtlinie zuzustimmen.
3.9 Setzen Sie ein weiteres Häkchen, um der Veröffentlichung Ihres Zertifikats zu erlauben.
3.10 Klicken Sie auf die Schaltfläche "Weiter" unterhalb des Formulars.
4. Im nächsten Fenster werden alle von Ihnen eingegeben Daten noch einmal dargestellt. Um diese ggf. zu ändern, d.h. auf die vorherige Seite zurückzukommen, gehen Sie auf die Schaltfläche "Ändern", ansonsten auf "Bestätigen".
5. Sie erhalten anschließend die Meldung, dass Sie Ihren Zertifikatsanstrag ausdrucken sollen. Wählen Sie dazu die Schaltfläche "Zertifikatsantrag anzeigen".
6. Sofern Sie ein Programm zur Anzeige von PDF-Dateien installiert haben, wird der Zertifikatsantrag nun geöffnet. Drucken Sie diesen aus, vervollständigen Sie fehlende Angaben (Adresse, Ausweisdaten) und unterschreiben Sie ihn.
7. Bringen Sie den Antrag samt einem Akkreditierungsschreiben persönlich bei der <link dienste it-security zertifizierungsstelle _blank internal-link-new-window>Registrierungsstelle der Grid-CA im RZ nach vorheriger Terminabsprache bei Herrn Krieger (1U13) oder Herrn Schmitt (1U14) vorbei. Bitte bringen Sie dabei unbedingt den im Antrag angegeben, gültigen Ausweis (Reisepass, Personalausweis) mit.
Sind alle Voraussetzungen korrekt erfüllt, dann gibt die Registrierungsstelle den Antrag zur Erstellung des Zertifikats an die Grid-CA weiter. Von dieser wird das ausgestellte Zertifikat dann per Mail an die im Antrag angegebene Mailadresse geschickt.