Beantragen eines Serverzertifikates Registrierungsstelle der Ernst Moritz Arndt Universität Greifswald (UG-RA) Ernst Moritz Arndt Universität Greifswald Rechenzentrum Letzte Aktualisierung: 4. April 2011 Seite 1
Inhaltsverzeichnis 1. Voraussetzung... 3 2. Serverzertifikatsantrag mittels dem Internet Information Server-Zertifikatsantrag erstellen3 2.1. Name und Sicherheitseinstellungen... 3 2.2. Organisation und Organisationseinheit angeben... 4 2.3. Common Name eingeben... 4 2.4. Angaben zu den Geographischen Informationen... 5 2.5. Speichern der Zertifikatsanforderung in einer Datei... 6 2.6. Zusammenfassung der Anforderungsdatei... 6 3. SSL-Zertifikatsantrag mittels OpenSSL erstellen (Linux)... 7 4. Den Zertifikatsantrag in die Webschnittstelle des DFN eingeben... 7 Seite 2
1. Voraussetzung Um ein Serverzertifikat beantragen zu können, ist eine Zertifikatsanforderung von dem entsprechenden Server notwendig. Diese kann entweder mit der entsprechenden Oberfläche (Zertifikatsantragsgenerierung unter Windows 2000/2003 Server) oder mit dem entsprechenden Kommandozeilentool (openssl unter Unix/Linux) erstellt werden. 2. Serverzertifikatsantrag mittels dem Internet Information Server-Zertifikatsantrag erstellen Um ein Zertifikatsantrag für eine Internet Information Server-Webseite zu erstellen, ist es zwingend nötig dass der Microsoft Internet Information Server bereits installiert ist! Ohne diesen steht die entsprechende Microsoft Management Console nicht zur Verfügung. Um die Zertifikatsanforderung zu generieren, klickt man mit der rechten Maustaste auf die entsprechende Webseite (im Beispiel URZ ), auf Eigenschaften. Dort den Reiter Verzeichnissicherheit auswählen und auf die Schaltfläche Serverzertifikat klicken. Im erscheinenden Dialog auf Weiter, Neues Zertifikat erstellen. Da die CA nicht auf Basis von Microsoft Windows betrieben wird, ist hier lediglich die Option Anforderung jetzt vorbereiten, aber später senden auswählbar. Auf Weiter klicken. 2.1. Name und Sicherheitseinstellungen Im darauf folgenden Dialog muss sowohl eine kurze Zertifikatsbeschreibung sowie die gewünschte Schlüssellänge für das Zertifikat angegeben werden. Seite 3
2.2. Organisation und Organisationseinheit angeben In diesem Dialog müssen die Organisation (O), in unserem Falle Universitaet Greifswald und die Organisationseinheit (OU) einzugeben. Dabei entspricht die Organisationseinheit der Fakultät bzw. dem Namen der Einrichtung. 2.3. Common Name eingeben Im diesem Schritt muss der Common Name (CN) für die Seite angegeben werden. Der Common Name ist bei Serverzertifikaten die volle DNS-Namen unter dem der Server erreichbar ist (z.b. ntrz100.rz.uni-greifswald.de). Seite 4
2.4. Angaben zu den Geographischen Informationen In diesem Dialog müssen die Geographischen Informationen eingestellt werden, die das Zertifikat enthalten soll. Dies ist durch Vorgaben der Policy eingeschränkt. Land/Region: Deutschland Bundesland/Kanton: Mecklenburg-Vorpommern Ort: Greifswald Seite 5
2.5. Speichern der Zertifikatsanforderung in einer Datei Um die Zertifikatsanforderung an die Webschnittstelle der UG-RA übermitteln zu können, speichern sie dir Zertifikatsanfrage an einem beliebigen Ort. Diese Datei muss später in der Webschnittstelle im Feld Zertifikatsanforderung angegeben werden. 2.6. Zusammenfassung der Anforderungsdatei Zum Schluss werden alle angegebenen Daten noch einmal zusammengefasst und es ist dringend zu empfehlen diese noch einmal zu überprüfen. Seite 6
3. SSL-Zertifikatsantrag mittels OpenSSL erstellen (Linux) Um mit OpenSSL einen Zertifikatsantrag zu erstellen, benötigen Sie zu allererst eine aktuelle Variante der OpenSSL-Bibliothek (zurzeit v0.9.8d). Diese finden Sie entweder in den Updates Ihrer Unix/Linux-Variante oder auf http://www.openssl.org. Anschließend kann mit der Generierung des Zertifikatsantrages begonnen werden. Auf der Kommandozeile geben Sie bitte die folgenden Befehle ein: shell > openssl req -newkey rsa:2048 -keyout hostname.key -out hostname.crt Dabei werden alle notwendigen Angaben abgefragt. Darunter fallen unter anderem das Land (DE), die Region/das Bundesland (Mecklenburg-Vorpommern), der Ort (Greifswald), die Organisation (Universitaet Greifswald), die Organisationseinheit (beliebig, der Name des Institutes), der Common Name (im Falle des Serverzertifikates der DNS-Name), ein administrativer Kontakt (unter dem der Serveradminstrator erreichbar ist). Weiterhin wird noch ein Zertifikatspasswort abgefragt, das erforderlich ist. Soll das Zertifikat später einem Apache-Webserver als Serverzertifikat dienen, so ist es notwendig dass das Passwort vom Zertifikatsschlüssel entfernt wird. Dazu gehen Sie wie folgt vor: shell > mv hostname.key hostname.key.old shell > openssl rsa -in hostname.key.old -out hostname.key Dabei werden Sie noch einmal nach dem Zertifikatspasswort gefragt. Anschließend ist die hostname.key Passwort-frei und kann in einem Apache-vHost verwendet werden. Die resultierende hostname.crt muss später zusammen mit den notwendigen Kontaktdaten in die Webschnittstelle des DFN hochgeladen werden. 4. Den Zertifikatsantrag in die Webschnittstelle des DFN eingeben Um nun den Zertifikatsantrag zur Bearbeitung in das System einzugeben, gehen Sie bitte auf die folgende Seite: https://pki.pca.dfn.de/ug-ca/cgi-bin/pub/pki?cmd=getstaticpage&name=index Von der Startseite aus, in das Menü Beantragen eines Zertifikates Zertifikatsantrag für Server klicken und dort dann alle Felder ausfüllen. Die hostkey.crt über die Durchsuchen Schaltfläche auswählen, die Haken in den Feldern Ich stimme der Zertifizierungsrichtlinie zu und Ich stimme der Veröffentlichung des Zertifikats zu setzen und dann auf Weiter klicken. Die darauf folgende Seite bietet Ihnen an den Zertifikatsantrag auszudrucken. Sollten Sie keinen Drucker zur Verfügung haben, kann dies auch später im Rechenzentrum getan werden. Um nun das Zertifikat genehmigen zu lassen, bitte mit Herrn Barsch (86-1406) oder Herrn Dr. Grubert (86-1456) im Universitätsrechenzentrum einen Termin vereinbaren. Seite 7