Beantragung eines Server-Zertifikats unter Linux

Hier finden Sie die wichtigsten Links zur Beantragung von Zertifikaten:

Startseite der TU Clausthal CA der DFN-PKIhttps://pki.pca.dfn.de/tu-clausthal-ca-g2/pub/
Beantragung eines Nutzer-ZertifikatsNutzerzertifikat beantragenInfos zu Nutzer-Zertifikaten
Beantragung eines Server-ZertifikatsServerzertifikat beantragenInfos zu Server-Zertifikaten
Zertifikatanträge für Nutzer-Zertifikate sind persönlich bei einem/einer Mitarbeiter/in des Teilnehmerservice (= akkreditiere Personen) abzugeben. Dazu wird ein gültiger Lichtbildausweis (Personalausweis, Reisepass) benötigt.
Sie müssen dazu berechtigt sein Server-Zertifikate für eine bestimmte (Sub-)Domain der TU Clausthal beantragen zu dürfen. Sie müssen dafür ggf. erst noch eine Akkreditierung beantragen. Der Antrag dazu ist ggf. zusammen mit Ihrem ersten Zertifikatantrag persönlich beim Teilnehmerservice abzugeben.

Wichtige Kommandos auf einen Blick

Hier finden Sie alle wichtigen Kommandos und Webseiten-Adressen auf einen Blick (für Fortgeschrittene):

Download der Konfigurationsdatei der TU Clausthal CAtu-clausthal-ca.conf
Erzeugen von eines privaten Schlüssels sowie eines
Certificate Signing Request für Ihr Server-Zertifikat
openssl req -config tu-clausthal-ca.conf -newkey rsa:4096 -sha256 -outform pem -out CSR.pem -keyout privater-Schluessel.pem
Entschlüsseln des privates Schlüssels Ihres Server-Zertifikatsopenssl rsa -in privater-Schluessel.pem -out privater-Schluessel-unverschluesselt.pem
Hochladen der Datei des Certificate Signing RequestServerzertifikat beantragen

Erzeugen eines Certificate Signing Request für ein Server-Zertifikat

Zur Beantragung eines Server-Zertifikats generieren Sie auf Ihrem Linux- oder Unix-Server (oder ggf. auch einem anderen Rechner) mit der Open-Source-Software OpenSSL die folgenden Bestandteile des zukünftigen Server-Zertifikats:

  1. Certificate Signing Request (Datei CSR.pem zum Hochladen auf die Antrags-Webseite der TU Clausthal CA)
  2. privater Schlüssel des Server-Zertifikats (Datei privater-Schluessel.pem)

Sie können sich dafür die Konfigurationsdatei tu-clausthal-ca.conf herunterladen und dann das folgende Kommando verwenden:

openssl req -config tu-clausthal-ca.conf -newkey rsa:4096 -sha256 -outform pem -out CSR.pem -keyout privater-Schluessel.pem

Die Datei tu-clausthal-ca.conf enthält die wichtigsten Konfigurationswerte, die Sie bei der Generierung des Certificate Signing Requests und des privaten Schlüssels des Server-Zertifikats sonst händisch eingeben müssten. Die vorausgefüllten Werte stehen in den eckigen Klammern (z.B. [Technische Universitaet Clausthal]), dort können Sie einfach durch Drücken der Enter-Taste zum nächsten Schritt weiter springen.

Geben Sie bei FQDN des Servers den Hostnamen Ihres Servers ein, für den Sie das Zertifikat beantragen wollen.

Bei pass phrase geben Sie ein Passwort ein, mit dem der private Schlüssel des Server-Zertifikats verschlüsselt werden soll. Ohne dieses Passwort können Sie den privaten Schlüssel nicht verwenden oder entschlüsseln!

Die vollständige Ausgabe des Kommando sieht so aus:

Generating a 4096 bit RSA private key
..........................++
.....................................................................................................................++
writing new private key to 'privater-Schluessel.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Laendername (bitte nicht aendern) [DE]:
Bundesland (bitte nicht aendern) [Niedersachsen]:
Ortsname (bitte nicht aendern) [Clausthal]:
Name der Organisation (bitte nicht aendern) [Technische Universitaet Clausthal]:
Abteilung []:
Unterabteilung []:
Gruppe []:
FQDN des Servers (bei Webservern die Adresse der Webseite, z.B. www.institut.tu-clausthal.de) []:www.test.tu-clausthal.de
E-Mail-Adresse des Server-Betreibers (z.B. webmaster@tu-clausthal.de) []:

Entschlüsseln des privaten Schlüssels des Server-Zertifikats

Mit dem folgenden Kommando können Sie den privaten Schlüssel Ihres Server-Zertifikats (Datei privater-Schluessel.pem) entschlüsseln:

openssl rsa -in privater-Schluessel.pem -out privater-Schluessel-unverschluesselt.pem

Das Kommando erfordert das Passwort (pass phrase), das Sie bei der Erzeugung des privaten Schlüssels Ihres Server-Zertifikats eingegeben haben. Nach der Eingabe des richtiges Passwortes wird der private Schlüssel entschlüsselt und unter dem Dateinamen privater-Schluessel-unverschluesselt.pem gespeichert.

Beantragung des Server-Zertifikats

Öffnen Sie im Web-Browser die Webseite der TU Clausthal CA.

Wählen Sie über Durchsuchen die Datei CSR.pem Ihres Certificate Signing Request aus, die Sie zuvor generiert haben. Wählen Sie unter Zertifikatsprofil aus für was für einen Server Sie das Zertifikat beantragen möchten.

Tragen Sie außerdem Ihren Namen, Ihre E-Mail-Adresse, Ihre Abteilung (bzw. Ihr Institut) sowie eine PIN in das Antragsformular ein. Die PIN kann später dazu verwendet werden um Ihr Zertifikat zu sperren.

Klicken Sie anschließend auf Weiter.

Überprüfen Sie die Angaben und klicken Sie dann auf Bestätigen.

Klicken Sie auf Zertifikatantrag anzeigen um sich den Zertifikatantrag herunterzuladen oder direkt in Ihrem Web-Browser anzeigen zulassen.

Unterschreiben Sie den Zertifikatantrag und geben Sie ihn beim Teilnehmerservice (= akkreditiere Personen) ab oder senden Sie ihn per Hauspost an das Rechenzentrum.

Melden Sie sich an, um einen Kommentar zu erstellen.
ssl-zertifikate/server-zertifikate/beantragung-server-zertifikat-linux.txt · Zuletzt geändert: 11:10 18. November 2016 von Oliver Koch
Valid CSS Driven by DokuWiki Recent changes RSS feed Valid XHTML 1.0