Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:faq:software [2018/06/01 13:37] – Heike Ausserfeld | de:dfnpki:faq:software [2018/06/01 14:15] – Heike Ausserfeld | ||
---|---|---|---|
Zeile 25: | Zeile 25: | ||
< | < | ||
* Zusammenführen von Serverzertifikat und privatem Schlüssel in einer Datei mit | * Zusammenführen von Serverzertifikat und privatem Schlüssel in einer Datei mit | ||
- | cat privkey.pk8 server_cert.pem > server_cert_concentrator.pem | + | < |
* Manuelles Importieren in den VPN Concentrator mit | * Manuelles Importieren in den VPN Concentrator mit | ||
- | | + | < |
Achten Sie auf das richtige Eingeben der Passphrase! Cisco gibt eine verwirrende Fehlermeldung (" | Achten Sie auf das richtige Eingeben der Passphrase! Cisco gibt eine verwirrende Fehlermeldung (" | ||
- | - Identity Zertifikat zur Nutzung von IPSec. | + | 2. **Identity Zertifikat** zur Nutzung von IPSec.\\ |
- | Hierfür gibt es leider nicht die Möglichkeit des Imports von extern erzeugten Schlüsseln. Cisco beschreibt, dass man durch das temporäre Abschalten von vorhandenen SEPs das Gerät dazu zwingen kann, private Schlüssel in Software zu erzeugen. Die Software-Schlüsselerzeugung hat den Bug nicht, so dass hier immer 2048 Bit Schlüssel generiert werden. Nach der Schlüsselerzeugung kann das SEP wieder eingeschaltet werden. Zum Vorgehen siehe Cisco-Workaround | + | |
- | 3. Wie installiere ich ein Serverzertifikat in Apache Tomcat? | + | Hierfür gibt es leider nicht die Möglichkeit des Imports von extern erzeugten Schlüsseln. Cisco beschreibt, dass man durch das temporäre Abschalten von vorhandenen SEPs das Gerät dazu zwingen kann, private Schlüssel in Software zu erzeugen. Die Software-Schlüsselerzeugung hat den Bug nicht, so dass hier immer 2048 Bit Schlüssel generiert werden. Nach der Schlüsselerzeugung kann das SEP wieder eingeschaltet werden. Zum Vorgehen siehe Cisco-Workaround |
+ | |||
+ | ===3. Wie installiere ich ein Serverzertifikat in Apache Tomcat?=== | ||
In Apache Tomcat können neben einem Java-KeyStore auch PKCS# | In Apache Tomcat können neben einem Java-KeyStore auch PKCS# | ||
Zeile 40: | Zeile 41: | ||
Erstellen Sie eine PKCS# | Erstellen Sie eine PKCS# | ||
- | Connector port=" | + | |
- | maxThreads=" | + | |
- | clientAuth=" | + | |
- | keystoreFile=" | + | |
- | keystoreType=" | + | |
- | keystorePass="< | + | |
- | 4. Wie konfiguriere ich VMware vCenter Server? | + | ===4. Wie konfiguriere ich VMware vCenter Server?=== |
- | Der VMware vCenter Server benötigt für Verwaltungsaufgaben mehrere Zertifikate. Von VMware existiert hierzu eine Anleitung, für deren Umsetzung in der DFN-PKI einige Punkte zu beachten sind: | + | Der VMware vCenter Server benötigt für Verwaltungsaufgaben mehrere Zertifikate. Von VMware existiert hierzu eine [[http:// |
- | | + | 1. Nach Anleitung soll zur eindeutigen Unterscheidung der Zertifikate für die verschiendenen Funktionen der Funktionsname in das OU-Feld des DN aufgenommen werden, also OU=InventoryService, |
- | | + | |
- | | + | Die OU-Attribute stellen hierbei nach Policy physikalische, |
- | | + | 2. Nach Anleitung soll im SubjectAltName ein Eintrag DNS=ShortServerName aufgeführt werden, der einen Host-Namen ohne weiteren qualifizierenden Domain-Namen repräsentiert. |
Derartige Zertifikate gibt es in der DFN-PKI (wie in allen Browser-verankerten PKIs) nur noch mit einer Gültigkeit bis Oktober 2015. Ab Oktober 2015 können solche Zertifikate in der DFN-PKI gar nicht mehr ausgestellt werden. | Derartige Zertifikate gibt es in der DFN-PKI (wie in allen Browser-verankerten PKIs) nur noch mit einer Gültigkeit bis Oktober 2015. Ab Oktober 2015 können solche Zertifikate in der DFN-PKI gar nicht mehr ausgestellt werden. |