Anleitung Server-Zertifikat erstellen
Folgende Anleitung erklärt, wie Sie ein Server-Zertifikat erstellen können.
Bitte beachten SIe, dass der bzw. die Anfragende als IT-Beauftragte:r, EDV-Beauftragte:r, Zertifikatsbeauftragte:r gemeldet oder Mitarbeiter am URZ sein muss.
1a) Erzeugen Sie mit den Mitteln Ihres Serverbetriebssystems ein ECC Schlüsselpaar.
Unter Linux verwenden Sie hierfür:
openssl ecparam -out server.key -name secp384r1 -genkey
chmod og-rwx server.key
1b) Wenn Kompatibilität mit alten Systemen notwendig ist, kann alternativ ein RSA-Schlüsselpaar erstellt werden:
dd if=/dev/urandom of=randfile bs=4096 count=1
openssl genrsa -out server.key -rand randfile 4096
chmod og-rwx server.key
2a) Zum Erstellen des CSR wird folgender Befehl genutzt:
openssl req -new -key server.key -out server.csr
Hierbei werden folgende Informationen benötigt:
- Land C=DE
- Provinz ST=Baden-Wuerttemberg
- Organisation O=Ruprecht-Karls-Universitaet Heidelberg
- „Common Name“ CN= (voll qualifizierter Servername wie im Nameserver)
2b) Wenn SAN eingesetzt werden, kann unsere Config-Datei heruntergeladen werden. Anschließend müssen darin sowohl der CN als auch alle SAN entsprechend angepasst werden. Der CSR selbst wird dann erstellt mit:
openssl req -new -key server.key -out server.csr -config server.conf
3) Kopieren Sie die Certificate Sign Request „server.csr“ auf Ihr lokales System und rufen Sie die universitäre Seite zum Beantragen von Serverzertifikaten „CaeSaR“ entweder aus dem Universitätsnetz oder dem VPN auf.
4) Hier melden Sie sich mit Ihrer ID und Ihrem Kennwort an. Nur IT- bzw. EDV-Beauftragten, Zertifikatsbeauftragten und Mitarbeitern des URZ ist der Login gestattet.
5) Laden Sie nun über das Webfomular den zuvor erstellten CSR hoch und tragen Sie unten die E-Mail-Adressen ein, an welche Sie Statusmeldungen zu Ihrem Antrag gesandt werden. Anschließend klicken Sie auf den Button "Angaben prüfen".
6) Prüfen Sie auf der folgenden Seite alle Angaben genau auf ihre Richtigkeit. Wenn alle Angaben korrekt sind, können Sie nun Ihren Antrag über den Button „CSR einreichen“ abschicken.
7) Nun wird Ihnen nun eine Bestätigung angezeigt, dass Ihr Zertifikat beantragt wurde. Daraufhin haben Sie die Möglichkeit weitere Zertifikate zu beantragen oder sich auszuloggen. Durch den Anbieter Sectigo erhalten Sie nun eine Bestätigungsmail, dass die Prüfung des Zertifikats aussteht. Sollten Sie diese nicht erhalten, melden Sie Sich bitte unter zertifikate@urz.uni-heidelberg.de .
8) Das URZ prüft nun den Antrag und gibt ihn im Normalfall bis zum nächsten Arbeitstag frei, wenn alle Daten korrekt sind. Falls noch Unklarheiten bestehen, rufen wir Sie an. Daraufhin erhalten alle in Schritt 5 eingetragenen Adressen eine Mail mit Instruktionen zum Download des Zertifikats.
9) Die Zertifikats-Datei sowie evtl. die Zertifizierungsketten müssen anschließend auf den Server kopiert und dort in dem Webserver eingetragen werden.