Beratung und Support Technische Plattform Support-Netz-Portal paedml - stabil und zuverlässig vernetzen Erweiterung Zertifikate in der paedml Novell 3.3.4 Stand: 31.01.2014 paedml Novell Version: 3.3.4
Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstr. 111 70190 Stuttgart Autoren der Zentralen Expertengruppe Netze (ZEN), Support-Netz, LMZ Stefan Falk Ulrich Frei Carl-Heinz Gutjahr Friedrich Heckmann Hubert Bechthold Uwe Labs Alfred Wackler Schwenk IT Weitere Informationen http://www.lmz-bw.de/technische-unterstuetzung.html www.lmz-bw.de Veröffentlicht: 2014 Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis 1 Einführung... 2 2 DNS-Server... 4 2.1 Erstellung der DNS-Zone... 4 3 GServer03... 6 3.1 Erzeugung des Zertifikats... 6 3.2 Bestellung des Zertifikats... 8 3.3 Bereitstellung des Zertifikats... 11 3.4 Anwendungsobjekte modifizieren... 13 4 KServer... 18 4.1 KServer: Erzeugung des Zertifikats... 18 4.2 KServer: Bereitstellung des Zertifikats... 21 5 Abschließende Arbeiten... 23 5.1 DNS-Konfiguration... 23
1 Einführung In der Auslieferungsversion der paedml-novell sind sowohl im GServer03 als auch im KServer nur sogenannte selbstsignierte Zertifikate enthalten. Dies hat bei Zugriffen über einen Browser auf das Intranet, auf GroupWise-Webaccess oder auch Vibe den Nachteil, dass im Browser eine Warnung wegen eines nicht-vertrauenswürdigen Zertifikats erscheint, das dann manuell akzeptiert werden muss. Dies ist einerseits lästig und andererseits nicht im Sinne einer sicherheitsbewussten Handhabung des Internets. Sinnvoller ist es also, dass Sie sich für Ihre Schule sogenannte vertrauenswürdige Zertifikate beschaffen. Dies ist i.d.r. leider mit Kosten verbunden, die sich aber in Grenzen halten. Recht teuer sind sogenannte Wildcard-Zertifikate, die für Domains, wie etwa *.MeineSchule.de, ausgestellt werden und damit auch für Subdomains, etwa gserver03.meineschule.de oder vibe.meineschule.de, gelten. Recht preiswert sind dagegen Nicht-Wildcard-Zertifikate, die dann aber auch nur für jeweils einen Server gelten. Wichtig: Zertifikate haben ein Ablaufdatum! Mit dem Ablauf eines Zertifikats bzw. wenn ein Zertifikat nicht mehr gültig ist, hat das Auswirkungen auf die Dienste, die damit abgesichert wurden. iprint z.b. wird mit einem abgelaufenen Zertifikat nicht mehr funktionieren. Es ist daher beim Erwerb von Zertifikaten darauf zu achten, welche Laufzeit die gekauften Zertifikate haben! Zertifikate lassen sich mit unterschiedlicher Laufzeit erwerben, üblich ist eine ein-, drei- oder fünfjährige Laufzeit. Bei typischen Zertifikaten handelt es sich um Server-Zertifikate, die einen Server absichern oder Wildcard-Zertifikate, die je nach Zertifikatstyp drei oder mehr Server absichern können. Wildcard-Zertifikate liegen bei mehreren hundert Euro, während Server- Zertifikate in der Gegend von 60 Euro liegen. Es gibt auch kostenlose Zertifikate. Eine ganze Reihe von Firmen und Organisationen bieten Zertifikate an; beispielsweise PSW, StartSSL, Verisign, CAcert, Trustico, Deutsche Post und viele mehr. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 2
In dieser Anleitung beschreiben wir den Einsatz von Server-Zertifikaten, zum einen für den GServer03 (Apache) und zum anderen für den KServer (Tomcat). Die Vorgehensweise bei den Zertifikaten verschiedener Firmen ist etwas unterschiedlich, dürfte jedoch in etwa so ausfallen, wie in dieser Anleitung beschrieben. Wollen oder können Sie nicht warten, können Sie die Zertifikate wie in diesem Dokument beschrieben einrichten. Hinweis: In Kürze wird die ZEN-Novell über das Support-Portal des LMZ ein Verfahren veröffentlichen, das es gestattet, mit einem einzigen Wildcard-Zertifikat auf dem GServer03 allen weiteren Servern, wie KServer und Filr, ein eigenes Zertifikat zu ersparen. Dieses neue Verfahren kommt außerdem mit einer einzigen öffentlichen IP-Adresse (und ohne Port-Angaben) für alle Server in der paedml- Novell aus. Falls Sie dieses neue Verfahren einsetzen wollen, sollten Sie mit dem Kauf Ihrer Zertifikate noch warten. Bei der Erstellung dieser Anleitung konnten wir dankenswerterweise auf substantielle Vorarbeiten der Herren Geiger, Stütz und Wrede zurückgreifen. Weitere Informationen finden Sie auch in http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/tipps-fueranwender/zertifikate.html Beispielhaft verwenden wir für den GServer03 den Domainnamen gserver03.meineschule.de, für den KServer, bzw. den Einsatz von Vibe, kserver.meineschule.de Diese sind durch die tatsächlichen Namen zu ersetzen. Ebenso gilt dies für in spitzen Klammen stehende Bezeichnungen, wie <Meine-Schule>, <MeineStadt>, <edv>@meineschule.de, usw. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 3
2 DNS-Server 2.1 Erstellung der DNS-Zone Wir wollen für die Absicherung mit Zertifikaten eine neue DNS-Zone einrichten, die den gleichen Namen hat, wie die für den externen Zugriff. So können innerhalb der Schule Anfragen auf den GServer03 umgeleitet werden. Da danach ein Zugriff auf die externe Domäne nicht mehr möglich ist (weil sie intern aufgelöst wird), sollten die richtigen IP-Adressen für die wichtigsten Dienste in den internen DNS-Server eingetragen werden. Unsere externe Beispieldomäne heißt meineschule.de. Ersetzen Sie also jeweils die Domäne durch den Namen ihrer eigenen Domäne in den nachfolgenden Schritten. Wir wollen nach der Konfiguration weiterhin Zugriff auf folgende Hosts haben: gserver03.meineschule.de www.meineschule.de mail.meineschule.de Zugriff auf die paedml von Extern soll über diesen Namen erfolgen: gserver03.meineschule.de Wir ermitteln zunächst die IP-Adressen für die Hosts mit nslookup: gserver03:~ # nslookup www.meineschule.de gserver03:~ # nslookup mail.meineschule.de gserver03:~ # nslookup ftp.meineschule.de Die jeweils ausgegebene IP-Adresse schreiben wir uns auf. Wir benötigen die IP-Adressen im nächsten Schritt. Sie können natürlich noch weitere nslookups ausführen. Anpassung der Bind-Konfiguration In diesem Schritt legen wir in unserem internen DNS-Server eine Zone für die externe Domäne an, damit wir die Namensauflösung intern auf unseren Server umbiegen können. Dazu passen wir die Bind-Konfigurationsdatei an: gserver03:~ # mcedit /etc/named.conf Am Ende der Datei fügen wir hinzu: zone "meineschule.de" in { file "master/meineschule.de"; type master; }; Mit F2 und F10 speichern wir die Änderungen ab und verlassen den Editor. Dadurch haben wir eine weitere Zone ("meineschule.de") in Bind integriert. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 4
Erstellung einer neuen Zone Die neue Zonendatei wird mit dem Editor mcedit erstellt: gserver03:~ # mcedit /var/lib/named/master/meineschule.de In unserem Beispiel und mit dem Zertifikat, welches auf gserver03.meineschule.de ausgestellt worden ist, würde die Zonendatei wie folgt aussehen. $TTL 2D @ IN SOA meineschule.de. root.meineschule.de. ( 2008040200 ; serial 3H ; refresh 1H ; retry 1W ; expiry 1D ) ; minimum IN NS gserver03.meineschule.de. gserver03 IN A 10.1.1.32 kserver IN A 192.168.1.36 www IN CNAME gserver03 mail IN CNAME gserver03 Speichern Sie die Veränderungen mit F2 ab und beenden Sie mit F10 das Programm mcedit. Neustart von Bind Wir starten Bind neu, damit es die aktualisierte Konfigurationsdatei einliest: gserver03:~ # rcnamed restart Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 5
3 GServer03 3.1 Erzeugung des Zertifikats Wir arbeiten an der Konsole oder in einem Terminalfenster (z.b. PuTTY). Wechseln Sie in das Verzeichnis /root und legen Sie dort ein Unterverzeichnis namens certs und darin ein weiteres Unterverzeichnis trusted an: (für selbst-signierte Zertifikate kann man das Verzeichnis /root/certs/selfsigned verwenden) cd /root mkdir certs cd certs mkdir trusted cd trusted Wir erzeugen jetzt ein Schlüsselpaar mit privatem Schlüssel (key) und öffentlicher Zertifizierungsanforderung (csr). Ein CSR (Certificate Signing Request) ist eine Datei, die Ihre Antragsdaten sowie den öffentlichen Schlüssel zu Ihrem privaten Schlüssel enthält. Geben Sie ein: openssl req -new -nodes -keyout gserver03.meineschule.de.key -out \ gserver03.meineschule.de.csr -newkey rsa:2048 Achtung: Alles eine Zeile, ohne den Backslash! Es erscheint eine Ausgabe, in der Sie nun eine Menge eingeben müssen: Country Name State or Province Name Locality Name Organization Name Organizational Unit Name Common Name Email Address A challenge password An optional company name DE Baden-Wuerttemberg <MeineStadt> <Meine-Schule> < z.b. EDV> gserver03.meineschule.de <edv>@meineschule.de <leer lassen> <leer lassen> Hinweis: keine Umlaute, keine Sonderzeichen, kein Passwort. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 6
Also: gserver03:~/certs/trusted # openssl req -new -nodes -keyout gserver03.meineschule.de.key -out gserver03.meineschule.de.csr -newkey rsa:2048 Generating a 2048 bit RSA private key...+++...+++ writing new private key to 'gserver03.meineschule.de.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:Baden-Wuerttemberg Locality Name (eg, city) []:<MeineStadt> Organization Name (eg, company) [Internet Widgits Pty Ltd]:<Meine-Schule> Organizational Unit Name (eg, section) []:< z.b. EDV> Common Name (eg, YOUR name) []:gserver03.meineschule.de Email Address []:<edv>@meineschule.de Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: gserver03:~/certs # Im Verzeichnis /root/certs/trusted liegen danach die Dateien: gserver03:~/certs/trusted # ll total 8 -rw-r--r-- 1 root root 1147 Jan 23 13:49 gserver03.meineschule.de.csr -rw-r--r-- 1 root root 1679 Jan 23 13:49 gserver03.meineschule.de.key Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 7
3.2 Bestellung des Zertifikats Mit einem Texteditor müssen Sie nun den Inhalt der CSR-Datei per Copy and Paste in das Antrags- Online-Formular des Zertifikatanbieters übertragen. Eine Möglichkeit unter mehreren ist folgende: Kopieren Sie die CSR-Datei (z.b. per WinSCP) auf eine Arbeitsstation und öffnen Sie dort mit Wordpad (nicht Notepad). Markieren Sie den Inhalt und übertragen ihn (z.b. mit Strg+C) in die Zwischenablage und dann von dort in das Antragsformular. Öffnen Sie Ihren Webbrowser und geben Sie bei Adresse http://www.psw-group.de ein und klicken Sie im Menübereich auf SSL-Zertifikate: Auf der Webseite sind viele verschiedene Zertifikate zu finden. Es empfiehlt sich zur Absicherung von Domänen, die ein Intranet wie paedml-novell.lokal absichern, ein Zertifikat aus dem Bereich Organisationvalidierte SSL Zertifikate/Einzelzertifikat auszuwählen. Möchten Sie jedoch auch den externen Zugriff auf das Intranet absichern, so sollten Sie Organisationvalidierte SSL Zertifikate/Einzelzertifikate, die sich immer auf eine echte Internet- Domäne wie in unserem Beispiel gserver03.meineschule.de beziehen müssen, nehmen. Scrollen Sie auf der Webseite herunter und klicken Sie auf Organisationvalidierte Einzelzertifikate. Das Zertifikat ( New Silver ) ComodoSSL wird von uns aus Kompatibilitätsgründen mit mobilen Geräten empfohlen. Klicken Sie auf die entsprechende Laufzeit, um das Zertifikat zu bestellen: Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 8
Sie haben Ihr Zertifikat mit der entsprechenden Laufzeit ausgewählt. Kopieren Sie den Inhalt Ihrer CSR-Datei per STRG+C in das Feld CSR. Wählen Sie bei der paedml Novell Apache/ModSSL als verwendete Serversoftware aus. Klicken Sie jetzt auf Weiter: gserver03.meineschule.de Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 9
In den nächsten Schritten müssen Sie Angaben zu Ihrer Schule machen. Bitte füllen Sie alle notwendigen Felder aus und klicken Sie immer auf Weiter: Nach Abschluss aller sechs Schritte haben Sie das Zertifikat bestellt. Sie bekommen das Zertifikat an die angegebene E-Mail Adresse geschickt. Zur Verifikation wird evtl. auch ein Telefonanruf durchgeführt. Sie sollten am darauffolgenden Werktag eine E-Mail mit dem Zertifikat in Form einer ZIP-Datei bekommen. Bemerkung: Falls Sie beim Antrag eine Bestätigungs-Email-Adresse aus einer vorgegebenen Liste auswählen müssen, die aber unpassend ist, kann es sein, dass der Anbieter Ihnen eine Text-Datei mit einem Hash schickt und Sie bittet, diese Datei temporär in das document root Ihres Servers zu kopieren, also nach /srv/www/htdocs. Der Anbieter muss dann per http(s)://gserver03.meineschule.de/<textdatei.txt> darauf zugreifen können. Alternativ können Sie eventuell auch eine Email-Adresse aus der beantragten Domain angeben, z.b. admin@meineschule.de. Fragen Sie bei Problemen beim Anbieter nach. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 10
3.3 Bereitstellung des Zertifikats Nach Erhalt der Zertifikatsdatei des Anbieters (z.b. certificate.zip) kopieren Sie dies nach /root/certs/trusted, packen Sie aus und kopieren die Dateien unter Beibehaltung der Endung um, damit Sie Ihren Domainnamen tragen: cd /root/certs/trusted unzip certificate.zip cp Linux\ \(pem+cabundle\)/certificate.crt gserver03.meineschule.de.crt cp Linux\ \(pem+cabundle\)/cert.cabundle gserver03.meineschule.de.cabundle Die Original-Zertifikate werden gesichert und anschließend die neuerzeugten nach /etc/ssl/servercerts kopiert. Sowohl Apache als auch LDAP benutzen diesen Pfad. gserver03:~ #cd /etc/ssl/servercerts gserver03:/etc/ssl/servercerts #cp serverkey.pem serverkey.pem.original gserver03:/etc/ssl/servercerts #cp /root/certs/trusted/gserver03.meineschule.de.key \ serverkey.pem Achtung: Alles eine Zeile, ohne den Backslash! Hinweis: Hier wird der private Schlüssel kopiert, kein Schlüssel aus dem erworbenen Zertifikatsbundle! gserver03:/etc/ssl/servercerts #cp /root/certs/trusted/gserver03.meineschule.de.crt \ servercert.pem Falls Sie ein Zwischenzertifikat haben, führen Sie noch folgenden Befehl aus: gserver03:/etc/ssl/servercerts #cp /root/certs/trusted/gserver03.meineschule.de.cabundle \ servercabundle.pem Unsere PEM-Datei enthält jetzt alle wichtigen Zertifikate und kann in den nächsten Schritten von den Diensten auf dem Server benutzt werden. Falls Sie ein Zwischenzertifikat haben, müssen Sie die Apache Konfigurationsdatei editieren: gserver03:/etc/ssl/servercerts # cd /etc/apache2/vhosts.d/ gserver03:/etc/apache2/vhosts.d # cp vhost-ssl.conf vhost-ssl.conf.original gserver03:/etc/apache2/vhosts.d # mcedit vhost-ssl.conf Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 11
Jetzt suchen Sie sich die folgende Zeile heraus:... #SSLCertificateChainFile /etc/apache2/ssl.crt/ca.crt... Die Zeile SSLCertificateChainFile muss einkommentiert und der Pfad zum Zwischenzertifikat angegeben werden:... SSLCertificateChainFile /etc/ssl/servercerts/servercabundle.pem... Speichern Sie die Änderungen. Schließlich lassen wir Apache und LDAP die Konfigurationsdatei neu einlesen: gserver03:/etc/apache2/vhosts.d #rcapache2 restart gserver03:/etc/apache2/vhosts.d #nldap u gserver03:/etc/apache2/vhosts.d #nldap l iprint überprüfen: Gehen Sie im imanager links auf das iprint-menü und dort z.b. auf Drucker verwalten. Wählen Sie einen Drucker aus und klicken auf OK. Falls nun eine Meldung über ein ungültiges Zertifikat erscheint, müssen Sie über den angebotenen Link das neue Zertifikat akzeptieren. Evtl. kommt auch eine Meldung, dass Der Hostname des iprint-servers nicht mit seinem Zertifikat übereinstimmt. Klicken Sie in diesem Fall die Checkbox vor Zulassen, dass Hostname gserver03.meineschule.de mit diesem Zertifikat verwendet wird an. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 12
Jetzt können Sie sofort Ihr neues Zertifikat genießen. Geben Sie im Browser z.b. https://gserver03.meineschule.de oder https://gserver03.meineschule.de/gw/webacc oder https://gserver03.meineschule.de/nps ein, so kommt nun keine Warnung mehr! 3.4 Anwendungsobjekte modifizieren Im NAL-Fenster verweisen verschiedene Anwendungsobjekte auf verschlüsselte Webdienste. Diese Anwendungsobjekte sollten nach dem Einbinden des gültigen Zertifikates modifiziert werden. In unserem Beispiel hatten wir die Domäne gserver03.meineschule.de zertifiziert und eingebunden. In der ConsoleOne finden wir im Container Links.Anwendungen.Schulkürzel.Schulen.ml3 drei Anwendungsobjekte, die den Browser öffnen. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 13
Wir öffnen die Eigenschaften des Anwendungsobjektes NetStorage. Dort öffnen wir den Reiter Ausführungsoptionen Web-URL. Als URL wird das Protokoll https verwendet, welches ein Zertifikat benötigt um die Verbindung zu verschlüsseln. Als Domäne wird die IP-Adresse des Servers angegeben. Diese Domäne ist nicht zertifiziert (und lässt sich auch nicht zertifizieren, da es sich um eine private IP Adresse handelt). Wir müssen die 10.1.1.32 mit unserer zertifizierten Domäne austauschen. https://gserver03.meineschule.de/netstorage Ändert man die URL auf die oben gezeigte Weise und speichert die Einstellungen ab, werden die Anwendungsobjekte mit gültigem Zertifikat gestartet. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 14
Bei Moodle steht zwar in der URL das http-protokoll, doch sobald man das Anmeldefenster von Moodle sieht, ist es auf https umgeleitet worden. Also sollte man auch hier die URL auf die zertifizierte URL rekonfigurieren. https://gserver03.meineschule.de/moodle Dies klappt jedoch nur, wenn man die Domäne 10.1.1.32 umgebogen hat und der nslookup-test auf externe Schuldomäne von intern auf die interne IP Adresse verweist. Soll Moodle mit https starten, ist noch am GServer in der Datei config.php in /srv/www/htdocs/moodle der Aufruf entsprechend anzupassen. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 15
Weitere Anwendungsobjekte sind im Container Links.Anwendungen.Dienste.ml3. Auf den folgenden Seiten finden sich Screenshots, die die neue URL angeben. https://gserver03.meineschule.de/gw/webacc Auch bei GroupWise Webaccess ist das http Protokoll auf https zu ändern. Wäre das nicht so, würde das Passwort im Klartext über das Netzwerk verschickt werden. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 16
Eigenschaften von imanager: https://gserver03.meineschule.de/nps/servlet/portalservice Eigenschaften von NetStorage: https://gserver03.meineschule.de/netstorage Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 17
Eigenschaften von QF-Manager: https://gserver03.meineschule.de/qfsearch/admin Prinzipiell sollte man auf die zertifizierte Domäne verweisen, ob das Protokoll nun die Verschlüsselung verwendet oder nicht. Die jeweiligen Dienste springen automatisch in die verschlüsselte Übertragung, sobald es sich um Sicherheitsrelevante Informationen handelt. 4 KServer 4.1 KServer: Erzeugung des Zertifikats Wir arbeiten an der Konsole des KServer oder in einem Terminalfenster (z.b. PuTTY). Wechseln Sie in das Verzeichnis /root und legen Sie dort ein Unterverzeichnis namens certs und darin ein weiteres Unterverzeichnis trusted an: Hinweis: für selbst-signierte Zertifikate kann man das Verzeichnis /root/certs/selfsigned verwenden: cd /root mkdir certs cd certs mkdir trusted cd trusted (Für das gesamte Verfahren siehe auch die Novell TID 7001857) Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 18
Bitte schauen Sie zunächst in der Datei /opt/novell/teaming/apache-tomcat/conf/server.xml im Abschnitt <Connector port="8443" protocol="http/1.1" SSLEnabled="true" maxthreads="150" scheme="https" secure="true" clientauth="false" sslprotocol="tls" keystorefile="conf/.keystore" keystorepass="123456" keyalias="tomcat" UR IEncoding="UTF-8"/> das Passwort unter keystorepass nach (hier im Beispiel 123456) und verwenden Sie im Folgenden das dort tatsächlich eingetragene Passwort! Nun erzeugen wir einen neuen Keystore: /usr/java/jdk1.6.0_29/bin/keytool -genkey -alias tomcat -keyalg RSA \ -keystore.keystore -keysize 2048 Achtung: Alles eine Zeile, ohne den Backslash! Hinweis: Das Programm keytool befindet sich im Java-Verzeichnis. Nach Eingabe des keytool-befehls müssen Sie etliche Eintragungen machen: Keystore password first and last name organizational unit organization City or Locality State or Province country code <das oben festgestellte Passwort> kserver.meineschule.de <z.b. EDV> <Meine-Schule> <MeineStadt> Baden-Wuerttemberg DE Hinweis: keine Umlaute, keine Sonderzeichen, kein Passwort. Nach der Eingabe erscheint dann eine Zusammenfassung, die mit yes bestätigt werden muss, wenn alles korrekt ist. Anschließend erscheint Enter key password for <tomcat> (RETURN if same as keystore password): Hier drücken Sie die RETURN-Taste, denn bei Ihrem Vibe sollte dies so korrekt sein. Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 19
Also: kserver:~/certs/trusted # /usr/java/jdk1.6.0_29/bin/keytool -genkey -alias tomcat -keyalg RSA -keystore.keystore -keysize 2048 Enter keystore password: Re-enter new password: What is your first and last name? [Unknown]: kserver.meineschule.de What is the name of your organizational unit? [Unknown]: kserver.meineschule.de What is the name of your organization? [Unknown]: <Meine-Schule> What is the name of your City or Locality? [Unknown]: <MeineStadt> What is the name of your State or Province? [Unknown]: Baden-Wuerttemberg What is the two-letter country code for this unit? [Unknown]: DE Is CN=vibe.meineschule.de, OU=vibe.meineschule.de, O=<Meine-Schule>, L=<MeineStadt>, ST=Baden- Wuerttemberg, C=DE correct? [no]: yes Enter key password for <tomcat> (RETURN if same as keystore password): kserver:~/certs/trusted # Kontrollieren Sie, ob die.keystore Datei erzeugt wurde: kserver:~/certs/trusted # ll total 4 -rw-r--r-- 1 root root 2367 Jan 24 10:14.keystore Jetzt erzeugen Sie eine CSR-Datei und benutzen dabei dasselbe Passwort, wie oben: /kserver:~/certs/trusted # /usr/java/jdk1.6.0_29/bin/keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore.keystore Enter keystore password: Es entsteht dabei die Datei certreq.csr: kserver:~/certs/trusted # ll total 8 -rw-r--r-- 1 root root 2367 Jan 24 10:14.keystore -rw-r--r-- 1 root root 1124 Jan 24 10:20 certreq.csr Mit einem Texteditor müssen Sie nun den Inhalt dieser CSR-Datei per Copy and Paste in das Antrags-Online-Formular des Zertifikatsanbieters übertragen. Eine Möglichkeit unter mehreren hierzu: Kopieren Sie die CSR-Datei (z.b. per WinSCP) auf eine Arbeitsstation und öffnen Sie dort mit Wordpad (nicht Notepad). Markieren Sie den Inhalt und übertragen ihn (z.b. mit Strg+C) in die Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 20
Zwischenablage und dann von dort in das Antragsformular. Als Typ wählen Sie Tomcat. Bestellen Sie das Zertifikat analog zum Kapitel 2.3. Füllen Sie anschließend alle vom Anbieter geforderten Angaben aus und senden dann den Antrag an den Anbieter. Von ihm bekommen Sie dann an Ihre Email-Adresse die Zertifikatsdateien. Bemerkung: Falls Sie beim Antrag eine Bestätigungs-Email-Adresse aus einer vorgegebenen Liste auswählen müssen, die aber unpassend ist, kann es sein, dass der Anbieter Ihnen eine Text-Datei mit einem Hash schickt und Sie bittet diese Datei temporär in das document root Ihres Servers zu kopieren, also nach /srv/www/htdocs. Der Anbieter möchte dann per http(s)://gserver03.meineschule.de/<textdatei.txt> darauf zugreifen können. Dies funktioniert aber auf einem Vibe-Server nicht! Alternativ können Sie eventuell auch eine Email-Adresse aus der beantragten Domain angeben, z.b. admin@meineschule.de. Fragen Sie bei Problemen beim Anbieter nach. 4.2 KServer: Bereitstellung des Zertifikats Nach Erhalt der Zertifikatsdatei des Anbieters (certificate.zip) kopieren Sie dies auf den KServer nach /root/certs/trusted, packen sie aus und kopieren Dateien um: cd /root/certs/trusted unzip certificate.zip cp Sonstige\ \(pem\)/certificate.crt. cp Sonstige\ \(pem\)/intermediate1.crt. cp Sonstige\ \(pem\)/root.crt. Hinweis: Achten Sie auf die Punkte! Da jetzt in die Datei.keystore importiert wird, retten wir diese zur Vorsicht, um im Fehlerfall den Import wiederholen zu können: cp --preserve=all.keystore.keystore.original Hinweis: Achten Sie auf die Punkte! Der Import wird nun durchgeführt. Verwenden Sie das Passwort aus Kapitel 4.1. kserver:~/certs/trusted # /usr/java/jdk1.6.0_29/bin/keytool -import -alias root -keystore.keystore -trustcacerts -file root.crt Enter keystore password: <Ihr Passwort von oben> Certificate already exists in system-wide CA keystore under alias <addtrustexternalca> Do you still want to add it to your own keystore? [no]: yes Certificate was added to keystore Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 21
Hinweis: Die Warnung mit yes beantworten. kserver:~/certs/trusted # /usr/java/jdk1.6.0_29/bin/keytool -import -alias intermed -keystore.keystore -trustcacerts -file intermediate1.crt Enter keystore password: <Ihr Passwort von oben> Certificate was added to keystore kserver:~/certs/trusted # /usr/java/jdk1.6.0_29/bin/keytool -import -alias tomcat -keystore.keystore -trustcacerts -file certificate.crt Enter keystore password: <Ihr Passwort von oben> Certificate reply was installed in keystore Mit der Ausgabe Certificate reply was installed in keystore haben Sie erfolgreich in den Keystore importiert. Dieser Keystore muss nun den ursprünglichen bisherigen Vibe-Keystore ersetzen. Den sichern wir zuvor: Wechseln Sie nach /opt/novell/teaming/apache-tomcat/conf: cd /opt/novell/teaming/apache-tomcat/conf cp --preserve=all.keystore.keystore.backup Prüfen Sie mit dem Kommando ll nach, ob die Sicherungskopie ordnungsgemäß angelegt wurde! Merken Sie sich dabei auch welchem user (hier: vibeadmin) und welcher group (hier: vibeadmins) die.keystore-datei gehört. -rwxr-x--- 1 vibeadmin vibeadmins 4750 Mar 9 2012.keystore -rwxr-x--- 1 vibeadmin vibeadmins 4750 Mar 9 2012.keystore.backup Jetzt kopieren Sie den neuen Keystore: cp /root/certs/trusted/.keystore./ Achtung: Achten Sie auf den Punkt vor / Prüfen Sie mit dem Kommando ll nach, ob schon user:group und Berechtigungen stimmen. Es sollte so aussehen (natürlich mit Ihrem user:group, hier vibeadmin:vibeadmins): -rwxr-x--- 1 vibeadmin vibeadmins 7455 Jan 25 19:46.keystore Ggf. müssen Sie user:group und Berechtigungen nacharbeiten: chown vibeadmin:vibeadmins.keystore chmod 750.keystore Abschließend wird Vibe neu gestartet: /etc/init.d/teaming stop /etc/init.d/teaming start Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 22
Danach können Sie sofort Ihr neues Zertifikat genießen. Geben Sie im Browser https://kserver.meineschule.de ein, so kommt nun keine Warnung mehr! 5 Abschließende Arbeiten Für den externen Zugriff auf die paedml sind noch einige Arbeiten am DNS-Server des Providers notwendig. Diese werden in diesem Kapitel beschrieben. Diese Beschreibungen beziehen sich auf alle paedml Lösungen. 5.1 DNS-Konfiguration Für den externen Zugriff auf die paedml müssen noch einige Einstellungen am DNS-Server des Homepage-Providers getätigt werden. Diese sind abhängig davon, ob man eine feste oder dynamische IP-Adresse hat: IP-Adresse Fest (z.b.: BelWue) Dynamisch (z.b.: T@School) DNS-Eintrag bei Homepage-Provider A-Record: server.<internet-domäne> <IP-Adresse> CNAME: server.<internet-domäne> <dynamischer Domänenname> Der externe Zugriff erfolgt also später über den Namen gserver03.<internet-domäne>. Lautet also die Internet-Domäne support-netz.de, über den Namen gserver03.support-netz.de. Mit <dynamischer Domänenname> ist ein DynDNS-Name gemeint, wie paedml.dyndns.org. Konfiguration am Beispiel des Providers Host Europe Beim Provider Host Europe geht man dazu z.b. im Kundenbereich auf Domainservices AutoDNS Domains bearbeiten: Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 23
Bei einer festen IP Adresse (BelWue) erstellen Sie einen neuen A-Record, tragen gserver03 als Hostname ein, die IP-Adresse, hier 1.1.1.1 und klicken danach auf Neu anlegen: gserver03 Bei einer dynamischen IP-Adresse mit DynDNS Account, tragen Sie bei Hostname wieder paedml ein, wählen CNAME aus, geben im letzten Feld den DynDNS Domänennamen der Schule ein, hier paedml.dyndns.org. Klicken sie auf Neu anlegen: Ab jetzt ist der paedml Server von außen über folgende URL erreichbar: https://gserver03.meineschule.de:51443 Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 24
Viel Erfolg mit den neuen Zertifikaten in Ihrer paedml-novell wünscht Ihnen Ihre ZEN-Novell. Quellen: u.a. Novell TID 7009962,7001857, 7006904 Erweiterung Zertifikate in der paedml Novell 3.3.4, 31. Januar 2014 // Seite 25
Landesmedienzentrum Baden-Württemberg (LMZ) Support Netz Rotenbergstraße 111 70190 Stuttgart Landesmedienzentrum Baden-Württemberg, 2014