Rechenzentrum


Navigation und Suche der Universität Osnabrück


Hauptinhalt

Topinformationen

Beantragen eines Serverzertifikats

Alle Angehörigen der Universität Osnabrück sind berechtigt, über das Sectigo TCS System Serverzertifikate zu beantragen. Serverzertifikate werden nur für Server innerhalb der Universität ausgestellt und nicht für private Server. Dieser Text beschreibt die Beantragung eines Serverzertifikates mit einer eigenen CSR-Datei (Serverzertifikat-Requestdatei) im pem-Format, die zuvor mit einem generierten privaten Server-Schlüssel erzeugt wurde.

Hinweis: Die vom Sectigo TCS System ausgestellten Serverzertifikate haben eine Laufzeit von 1 Jahr! Die Antragsstellung, die Genehmigung sowie der Download des Serverzertifikats erfolgen online.

Leitfaden

Erzeugen eines privaten Schlüssels

Um einen Request für ein Serverzertifikat zu erzeugen, muss, sofern noch nicht geschehen, ein privater Schlüssel generiert werden.
Im folgenden Beispiel wird mit der Software openssl ein privater Schlüssel für einen Server generiert. Die Open-Source Software openssl ist für alle gängigen Betriebssysteme erhältlich (https://www.openssl.org).

openssl-Befehl zur Erzeugung des privaten Schlüssels
openssl genrsa -des3 -out /etc/openssl/private/mein-server-key.pem 4096

Hinweis:

  • Die im Beispiel angegebenen Pfade müssen je nach Installation und Konfiguration des openssl-Programms angepasst werden.
  • Die Schlüssellänge muss mindestens 3072 Bit betragen, besser wie im Beispiel 4096 Bit
  • Der private Schlüssel darf nie an Dritte weitergegeben werden.

Erzeugen des Serverzertifikat-Requests

Mithilfe des privaten Schlüssels werden der Request und der öffentliche Schlüssel für das Serverzertifikat generiert. Das folgende Beispiel benutzt den zuvor generierten privaten Schlüssel mein-server-key.pem, um den Request mein-server-req.pem zu erzeugen.

Hinweis: Die im folgenden Beispiel angegebenen Pfade müssen je nach Installationsort des openssl-Tools und dessen Konfiguration angepasst werden.

openssl Befehl zur Erzeugung des Requests und des öffentlichen Schlüssels
openssl req -new -sha1 -key /etc/openssl/private/mein-server-key.pem -out /etc/openssl/req/mein-server-req.pem

Der openssl req-Befehl erwartet jetzt die Eingabe der in der Liste aufgeführten Attribute. Diese müssen im Request korrekt enthalten sein.

Attribut Werte Im Antrag angezeigt mit folgendem Kürzel Erläuterung
Country Name (2 letter code) DE C muss DE sein
State or Province Name (full name) Niedersachsen ST muss Niedersachsen sein
Locality Name (eg, city) Osnabrueck L muss Osnabrueck sein
Organization Name Universitaet Osnabrueck O muss Universitaet Osnabrueck sein
Organizational Unit Name   OU muss leer bleiben
common name Beispielwert, bitte anpassen:
mein-server.rz.uni-osnabrueck.de
CN vollqualifizierter Servername
E-Mail Address     muss leer bleiben

Beantragen des Serverzertifikats und Upload des Serverzertifikat-Requests

Um ein Serverzertifikat mit der zuvor erzeugten Requestdatei (hier: mein-server-req.pem) zu beantragen, wird die folgende Webseite aufgerufen:

https://cert-manager.com/customer/DFN/ssl/sslsaml

Hier ist die Schaltfläche Your Institution auszuwählen.

Auf der Formularseite Find your Institution wird in das Suchfeld Universität Osnabrück eingegeben. Anschließend ist im unteren Bereich des Formulars auf die Schaltfläche Universität Osnabrück zu klicken.

Der folgende Anmeldebildschirm erscheint. Hier werden die Anmeldedaten Benutzerkennung (hier: xmuster) und Passwort erwartet. Die Authentifizierung startet über einen Klick auf den Anmelden Button.

Auf der Formularseite "SSL Certificate Enrollment" wird in der Kategorie "Select Enrollment Account" der Account "Universität Osnabrück SSL Server" ausgewählt. Über Next startet der nächste Dialogschritt.

Das Formular zeigt sind die folgenden vorbesetzten Felder:

  • Organization
  • Department
  • E-Mail (E-Mail Adresse des Antragstellers)
  • Das Profil des Zertifikats
  • Die Gütigkeitsdauer des Zertifikats

Über die Schaltfläche Upload CSR wird jetzt die Requestdatei (hier: mein-server-req.pem) hochgeladen.

Im unteren Teil der Webseite wird der Common Name des beantragten Zerifikats angezeigt. Dieser wurde aus dem Request übernommen.

Das Eingabefeld Subject Alternative Names erlaubt die Eingabe weiterer alternativer Servernamen.

Über die Schatfläche Auto Renew kann eine automatische Erneuerung des Zertifikates (hier: 30 Tage vor Ablauf) eingestellt werden.

Über die Schaltfläche Submit wird der Antrag auf ein Serverzertifikat an Sectigo übermittelt.

Der Zertifikatsrequest wird jetzt im Sectigo Certificate Manager angezeigt und die Webseite kann verlassen werden.

Ausstellen des Serverzertifikats

Sectigo informiert die antragstellende Person per E-Mail, sobald das Zertifikat ausgestellt ist. In der E-Mail befinden sich die Links zum Download des Zertifikats und der Zertifikatskette.