Netzwerk:Zertifikate

Aus Hochschule Darmstadt - Fachschaft Informatik Wiki
(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(Neues Zertifikat hinzufügen)
(Insert table with active certificates)
 
Zeile 56: Zeile 56:
 
   
 
   
 
  <Unterschrift administrativer Ansprechpartner (admin-c) für die o.g. Domain>
 
  <Unterschrift administrativer Ansprechpartner (admin-c) für die o.g. Domain>
 +
 +
= Aktuelle Zertifikate =
 +
{| border="1" class="wikitable" style="text-align:left"
 +
! CN !! Alt-Names !! Profile !! Expiry Date
 +
|- style="vertical-align:top"
 +
|git.fbihome.de
 +
|gitlab.fbihome.de
 +
gitlab-ci.fbihome.de<br />
 +
mattermost.fbihome.de<br />
 +
mm.fbihome.de
 +
| web-server
 +
|2020/12/17 04:45:00 GMT
 +
|- style="vertical-align:top"
 +
|mail.fbihome.de
 +
|mailgw1.fbihome.de
 +
mailgw2.fbihome.de
 +
| mail-server
 +
|tbc. (2022?)
 +
|- style="vertical-align:top"
 +
|web.fbihome.de
 +
|admin.fbihome.de<br />
 +
chat.fbihome.de<br />
 +
dienste.fbihome.de<br />
 +
ese.fbihome.de<br />
 +
fbihome.de<br />
 +
forum.fbihome.de<br />
 +
fotos.fbihome.de<br />
 +
klausurausleihe.fbihome.de<br />
 +
lists.fbihome.de<br />
 +
stupa.fbihome.de<br />
 +
web.fbihome.de<br />
 +
webmail.fbihome.de<br />
 +
wiki.fbihome.de<br />
 +
www.fbihome.de<br />
 +
www2.fbihome.de
 +
| web-server
 +
|tbc. (2022?)
 +
|}

Aktuelle Version vom 26. Juni 2019, 15:36 Uhr

Für Zertifikate kann die DFN-PKI der Hochschule mitbenutzt werden.

Inhaltsverzeichnis

[Bearbeiten] Zertifikatsverwaltung

Die Privaten Schlüssel, etc. werden auf dem Admin Server erzeugt und verwaltet (/root/certificates).

[Bearbeiten] Neues Zertifikat hinzufügen

Für jedes Zertifikat gibt es eine (OpenSSL)-Konfigurationsdatei. Entsprechend muss eine neue Datei angelegt werden. Die Datei example.fbihome.de.cnf.dist ist dabei eine gute Basis. Die Datei sollte kopiert werden und die Parameter am Anfang entsprechend angepasst werden.

Anschließend muss das maintenance.sh Script ausgeführt werden. Dabei werden sämtliche fehlenden Dateien erzeugt:

  • *.key: Private Key
  • *.csr: Certificate Request mit den gewünschten Parametern
  • *.crt: Zertifikat (Es wird eine selbst-signiertes Zertifikat erzeugt falls es die Datei noch nicht gibt)
  • *.cachain.pem: Zu dem Zertifikat gehörende Zertifikats-kette
  • *.chain.pem: Zu dem Zertifikat gehörende Zertifikats-kette und das Zertifikat selbst
  • *.p12: Alle Zertifikate und private Key im PKCS#12 Format

Der Zertifikats-Antrag (*.csr) muss bei der DFN-H_DA CA hochgeladen werden. Als PIN sollte der in der .cnf erzeugte dfn_pin angegeben werden.

Am Schluss des Prozesses erhält man ein pdf Antrag, welcher ausgedruckt werden muss. Zur Verifikation muss der unterschriebenen Antrag bei ITDuA vorgelegt werden (R. Galley und T. Eller sind zum freischalten von Zertifikaten berechtigt).

Nach der Freischaltung erhält man das Zertifikat per E-Mail. Das selbst-signierte bzw. alte Zertifikat (.crt) wird nun mit dem neuen ersetzt.

Zuletzt muss das deploy.sh Script ausgefüht werden, dabei werden die Zertifiakte und Private Keys auf die in der .cnf (deploy option) angegeben Server verteilt.

[Bearbeiten] Zertifikate auf den Servern

Im Falle eine Linux Servers kopiert das deploy script die Zertifikate anschließend auf dem jeweiligen Server nach /etc/ssl/certs/ bzw. /etc/ssl/private/:

  • /etc/ssl/private/<Common Name>.key: private key (PEM format)
  • /etc/ssl/private/<Common Name>.p12: (intermediate) CA certificates, certificate itself and the private key in PKCS#12 format (no password/empty string)
  • /etc/ssl/certs/<Common Name>.crt: certificate (PEM format)
  • /etc/ssl/certs/<Common Name>.cachain.crt: all (intermediate) CA certificates, excluding the certificate itself (PEM format)
  • /etc/ssl/certs/<Common Name>.chain.crt: all (intermediate) CA certificates and the certificate itself (PEM format)

[Bearbeiten] DFN-PKI

[Bearbeiten] Neue Domain zu der PKI hinzufügen

Zuerst sollte mit ITDuA geklärt werden ob es prinzipiel in Ordnung ist die neue Domain hinzuzufügen. Um Zertifikate für eine neue Domain beantragen zu können, muss der Administrativer Ansprechpartner (ADMIN-C) der jeweiligen Domain folgendes Schreiben an die DFN-PKI und ITDuA (Kopie) schicken.

Absender:
<ADMIN-C>

Empfänger:
DFN-CERT Services GmbH
DFN-PCA
Sachsenstraße 5
20097 Hamburg

Sehr geehrte Damen und Herren,

hiermit gewähre ich der Hochschule Darmstadt das Recht, im Rahmen der DFN-PKI Zertifikate der h_da CA mit vollständigen Domainnamen (FQDN) in der Domain example.com zu erhalten.

Mit freundlichen Grüßen,

<Unterschrift administrativer Ansprechpartner (admin-c) für die o.g. Domain>

[Bearbeiten] Aktuelle Zertifikate

CN Alt-Names Profile Expiry Date
git.fbihome.de gitlab.fbihome.de

gitlab-ci.fbihome.de
mattermost.fbihome.de
mm.fbihome.de

web-server 2020/12/17 04:45:00 GMT
mail.fbihome.de mailgw1.fbihome.de

mailgw2.fbihome.de

mail-server tbc. (2022?)
web.fbihome.de admin.fbihome.de

chat.fbihome.de
dienste.fbihome.de
ese.fbihome.de
fbihome.de
forum.fbihome.de
fotos.fbihome.de
klausurausleihe.fbihome.de
lists.fbihome.de
stupa.fbihome.de
web.fbihome.de
webmail.fbihome.de
wiki.fbihome.de
www.fbihome.de
www2.fbihome.de

web-server tbc. (2022?)
Meine Werkzeuge