Übersicht
Im Anleitungsbereich finden Sie alle Handzettel, Benutzerhandbücher und Dokumentationen zum Dienst.
Beantragung von Serverzertifikaten
Zertifikate für Server in den Institutionen und Einrichtungen der Universität Stuttgart können über die Webschnittstelle beantragt werden.
Voraussetzungen
- Sie sind für ihr Institut oder ihre Einrichtung berechtigt, Serverzertifikate zu beantragen und haben im Adminportal die Rolle Serverzertifikate-Administrator.
- Zur Antragerstellung und Schlüsselerzeugung benötigen Sie OpenSSL.
- Sie haben mit OpenSSL (siehe unten - OpenSSL) einen Zertifikatsantrag (CSR) im pem-Format erstellt (siehe unten - PKCS#10-Zertifikatantrag).
OpenSSL ist ein Werkzeugkasten mit verschiedenen Programmen u.a. zur Verarbeitung und Erzeugung von elektronischen Zertifikatsanträgen und Zertifikaten. OpenSSL wird als fertiges Paket bei den meisten Linux-Distributionen mitgeliefert.
Sofern Sie ein Windows-Betriebssystem nutzen, können Sie OpenSSL auch in PowerShell oder dem Windows-Subsystem für Linux installieren und dann verwenden.
Der elektronische Zertifikatsantrag enthält folgende Informationen:
- Den Distinguished Name, eine Zeichenkette, die den Server eindeutig identifiziert und einer Organisationseinheit der Universität Stuttgart zuordnet.
- Den öffentlichen Schlüssel des von Ihnen erzeugten Schlüsselpaares.
Gemäß der Zertifizierungsrichtlinie kann die CA der Universität Stuttgart nur Zertifikate mit dem Eintrag "C=DE, L=Stuttgart, O=Universitaet Stuttgart" oder "C=DE, ST=Baden-Wuerttemberg, L=Stuttgart, O=Universitaet Stuttgart" ausstellen. Als OU-Eintrag sollten Sie das Kürzel Ihrer Einrichtung verwenden. Der Eintrag "CN" ist der Common Name des Servers, d.h. der DNS-Name. Webbrowser überprüfen, ob die angegebene URL mit dem im Zertifikat präsentierten Namen übereinstimmt. Umlaute und Kommata sollten nicht verwendet werden. Halten Sie ggf. vorher Rücksprache mit dem PKI-Team der Universität Stuttgart.
Die inhaltliche Struktur für diesen elektronischen Zertifikatsantrag ist als PKCS#10 genormt. Es gibt dann zwei Alternativen für das Dateiformat, nämlich ein binäres Format (DER) oder ein druckbares Format PEM. Im druckbaren PEM-Format lassen sich die Dateien in einem Editor ansehen und einfach per Mail versenden.
Wählen Sie zum Erzeugen des Zertifikatsantrages einen vertrauenswürdigen Computer, denn dabei wird ein Schlüsselpaar aus einem geheimen (private key) und einem öffentlichen (public key) Schlüssel erzeugt. Der geheime Schlüssel darf nicht in falsche Hände geraten!
Mit OpenSSL erzeugen Sie den Zertifikatsantrag mit nachfolgendem Befehl. Dabei muss der gesamte Befehl in einer Zeile stehen. Für die Übersichtlichkeit sind hier Zeilenumbrüche eingefügt. Diese Zeilenumbrüche müssen entfernt werden, wenn Sie dieses Beispiel als Vorlage für Ihren Zertifikatsantrag benutzen. Am besten legen Sie sich eine Kommandodatei (Shell-Script, CMD/BAT-Datei) mit dem Befehl an (falls Sie sich vertippen).
openssl req
-batch
-sha256
-newkey 2048:rsa
-passout pass:geheim
-keyout private_key_enc.pem
-out csr.pem
-subj "/C=DE/ST=Baden-Wuerttemberg/L=Stuttgart/O=Universitaet Stuttgart/OU=Rechenzentrum/CN=www.test.rus.uni-stuttgart.de"
Heben Sie das Passwort sicher auf und löschen Sie es aus der Beispieldatei.
Die eingegebenen Befehle bewirken im Einzelnen:
- openssl req ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
- -batch bewirkt das Ausführen im nicht-interaktiven Modus.
- -sha1 gibt die SHA1 Prüfsumme (fingerprint) des Zertifikatsantrags aus.
- -newkey 2048:rsa erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren.
- -passout pass:geheim verschlüsselt den geheimen Schlüssel mit dem Passwort geheim.
- -keyout private_key_enc.pem speichert den geheimen Schlüssel (private key) verschlüsselt in der angegebenen Datei ab.
- -out csr.pem legt den neuen Zertifikatsantrag PKCS#10 in der Datei csr.pem im PEM-Format ab.
- -subj "/C=DE..." gibt den Distinguished Name des Webservers an und muss auf Ihren Server angepasst werden.
Bitte wählen Sie hier ein anderes, besseres Passwort. Allerdings hängt es später von der Konfiguration des Webservers ab, ob der geheime Schlüssel verschlüsselt bleiben kann. Wenn der geheime Schlüssel verschlüsselt vorliegt, dann kann der Webserver ohne manuelle Eingabe dieses Passwortes nicht mehr starten. Beim Neustart müsste also immer dieses Passwort eingegeben werden.
Nach der Ausführung dieses Befehls erzeugt OpenSSL die Datei csr.pem, die für die Webschnittstelle benötigt wird und die Datei mit Namen private_key.pem. Passen Sie gut auf diesen Schlüssel auf, denn Sie dürfen ihn weder verlieren, noch darf der Schlüssel in falsche Hände gelangen.
Zertifikatsbeantragung
1.) Anmeldung bei Sectigo via Shibboleth
Um ein Zertifikat für einen Server über das Sectigo-Webinterface zu beantragen, rufen Sie folgende Seite in Ihrem Browser auf
https://uni-stuttgart.de/tcs
oder klicken Sie auf folgenden Button:
Die Felder des Webformulars sind folgendermaßen auszufüllen:
- Organization / Department / Email / Certificate Profile / Certificate Term
Ihre Organisation, das Department, die Mailadresse, das Zertifikatsprofil und die Dauer der Zertifikatsgültigkeit sind bereits eingetragen und können nicht verändert werden. - CSR
Kopieren Sie den Inhalt der CSR-Datei in das Feld oder klicken Sie auf "UPLOAD CSR", um eine lokal gespeicherte CSR-Datei hochzuladen. - Common Name
Der Common Name (auch: Fully Qualified Domain Name, FQDN) wird angezeigt, sobald der CSR mit der entsprechenden Angabe eingetragen wurde. Aktuell kann ein Serverzertifikat nicht automatisch erneuert werden. - Subject Alternative Names
Hier können bei Bedarf weitere Aliasnamen für den Server angegeben werden.
Anschließend wird auf der Seite Certificate Manager das beantragte Zertifikat mit dem Status REQUESTED angezeigt.
Das PKI-Team der Universität Stuttgart wird über den Antrag informiert und bestätigt Ihr Zertifikat.
Nach der Bestätigung erhalten Sie eine E-Mail von
support@cert-manager.com. In dieser Mail ist neben dem Ablaufdatum auch die Zertifikats-ID angegeben. Diese wird benötigt, um das Zertifikat zu sperren. Außerdem enthält die E-Mail weitere Informationen zum Download des Zertifikats.
Dear Certificate Applicant,
your certificate request 987654325 with profile OV Multi-Domain has been processed.
The certificate has been issued with the names www.test.rus.uni-stuttgart.de and www.test2.rus.uni-stuttgart.de.
It will expire on 05/08/2023 23:59 GMT.
You need the Certificate ID to renew or revoke the certificate. Certificate ID: 5555555
Please choose the correct download format. For Apache/nginx use "as Certificate (w/ issuer after)", for Microsoft IIS "as PKCS#7".
Both of these options contain the complete certification chain including CA certificates.
Available formats:
as Certificate only, PEM encoded: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=5555555&format=x509CO
as Certificate (w/ issuer after), PEM encoded: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=5555555&format=pemia
as Certificate (w/ chain), PEM encoded: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=55555555&format=x509
as PKCS#7: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=5555555&format=bin
as PKCS#7, PEM encoded: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=5555555&format=base64 Issuing CA certificates only:
as Root/Intermediate(s) only, PEM encoded: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=5555555&format=x509IO
as Intermediate(s)/Root only, PEM encoded: https://cert-manager.com/customer/DFN/ssl?action=download&sslId=5555555&format=x509IOR
Sincereley Yours, DFN-PKI-Team
Laden Sie das Zertifikat herunter und binden Sie es auf Ihrem Server ein.
Ein aktuelles Zertifikat kann über den in der E-Mail angegebenen Link oder über folgende Seite mit der Zertifikats-ID erneut heruntergeladen werden.
Wenn Sie für Ihr Zertifikat eine Revocation benötigen, wenden Sie sich bitte an den Support: pki-support@tik.uni-stuttgart.de