Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:dfnpki:faq:software [2018/06/01 13:39] – Heike Ausserfeld | de:dfnpki:faq:software [2018/06/01 14:15] – Heike Ausserfeld |
---|
Erstellen Sie eine PKCS#12-Datei mit dem privaten und öffentlichen Schlüssel, dem Serverzertifikat, sowie der CA-Kette. Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL. Ändern Sie die Datei "server.xml" im Verzeichnis "conf" von Tomcat wie folgt: | Erstellen Sie eine PKCS#12-Datei mit dem privaten und öffentlichen Schlüssel, dem Serverzertifikat, sowie der CA-Kette. Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL. Ändern Sie die Datei "server.xml" im Verzeichnis "conf" von Tomcat wie folgt: |
| |
Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" | Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" |
maxThreads="150" scheme="https" secure="true" | maxThreads="150" scheme="https" secure="true" |
clientAuth="false" sslProtocol="TLS" | clientAuth="false" sslProtocol="TLS" |
keystoreFile="server.p12" | keystoreFile="server.p12" |
keystoreType="PKCS12" | keystoreType="PKCS12" |
keystorePass="<Passwort der PKCS#12-Datei>" | keystorePass="<Passwort der PKCS#12-Datei>" |
| |
4. Wie konfiguriere ich VMware vCenter Server? | ===4. Wie konfiguriere ich VMware vCenter Server?=== |
| |
Der VMware vCenter Server benötigt für Verwaltungsaufgaben mehrere Zertifikate. Von VMware existiert hierzu eine Anleitung, für deren Umsetzung in der DFN-PKI einige Punkte zu beachten sind: | Der VMware vCenter Server benötigt für Verwaltungsaufgaben mehrere Zertifikate. Von VMware existiert hierzu eine [[http://kb.vmware.com/kb/2037432|Anleitung]], für deren Umsetzung in der DFN-PKI einige Punkte zu beachten sind: |
| |
Nach Anleitung soll zur eindeutigen Unterscheidung der Zertifikate für die verschiendenen Funktionen der Funktionsname in das OU-Feld des DN aufgenommen werden, also OU=InventoryService, OU=SSO, OU=UpdateManager, OU=vCenter, OU=WebClient bzw. OU=LogBrowser, damit der subjectDN der Zertifikate eindeutig wird. Für Zertifikate der DFN-PKI für den Einsatz in VMware-Installationen empfehlen wir ein Schema, das durch folgendes Beispiel illustriert wird: | 1. Nach Anleitung soll zur eindeutigen Unterscheidung der Zertifikate für die verschiendenen Funktionen der Funktionsname in das OU-Feld des DN aufgenommen werden, also OU=InventoryService, OU=SSO, OU=UpdateManager, OU=vCenter, OU=WebClient bzw. OU=LogBrowser, damit der subjectDN der Zertifikate eindeutig wird. Für Zertifikate der DFN-PKI für den Einsatz in VMware-Installationen empfehlen wir ein Schema, das durch folgendes Beispiel illustriert wird: |
| |
/C=DE/ST=Muster-Bundesland/L=Muster-Stadt/O=Universitaet Muster-Stadt/OU=Rechenzentrum/OU=Virtualisierung/OU=InventoryService/CN=vcenter.example.org | /C=DE/ST=Muster-Bundesland/L=Muster-Stadt/O=Universitaet Muster-Stadt/OU=Rechenzentrum/OU=Virtualisierung/OU=InventoryService/CN=vcenter.example.org |
| |
Die OU-Attribute stellen hierbei nach Policy physikalische, abstrakte oder logische organisatorische Untereinheiten der im O-Attribut benannten Einrichtung dar. | Die OU-Attribute stellen hierbei nach Policy physikalische, abstrakte oder logische organisatorische Untereinheiten der im O-Attribut benannten Einrichtung dar. |
| |
Nach Anleitung soll im SubjectAltName ein Eintrag DNS=ShortServerName aufgeführt werden, der einen Host-Namen ohne weiteren qualifizierenden Domain-Namen repräsentiert. | 2. Nach Anleitung soll im SubjectAltName ein Eintrag DNS=ShortServerName aufgeführt werden, der einen Host-Namen ohne weiteren qualifizierenden Domain-Namen repräsentiert. |
| |
Derartige Zertifikate gibt es in der DFN-PKI (wie in allen Browser-verankerten PKIs) nur noch mit einer Gültigkeit bis Oktober 2015. Ab Oktober 2015 können solche Zertifikate in der DFN-PKI gar nicht mehr ausgestellt werden. | Derartige Zertifikate gibt es in der DFN-PKI (wie in allen Browser-verankerten PKIs) nur noch mit einer Gültigkeit bis Oktober 2015. Ab Oktober 2015 können solche Zertifikate in der DFN-PKI gar nicht mehr ausgestellt werden. |