Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |||
de:dfnpki:faq:software [2018/06/01 14:16] – Heike Ausserfeld | de:dfnpki:faq:software [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
- | ===== Fragen und Antworten zu Zertifikaten in spezieller Software (Cisco, Apache) ===== | ||
- | {{INLINETOC 3-4}} | ||
- | |||
- | ===1. Wie erzeugt man für Cisco Hardware (z.B. ASA 5000er Serie) einen Schlüssel und einen Request (CSR) und wie werden dann das Serverzertifikat und die zugehörige komplette Zertifikatskette importiert? | ||
- | |||
- | Eine Anleitung zu dieser Frage gibt es auf dem Cisco-Webserver auf der Seite [[http:// | ||
- | |||
- | Die Schlüssellänge des erzeugten Schlüssels muss auf 2048 Bit gesetzt werden, der Zertifikatname (SubjectDN) für den Request wird an entsprechender Stelle festgelegt mit dem Befehl | ||
- | |||
- | // | ||
- | |||
- | ===2. Was kann man tun, wenn ein mit Cisco VPN 3xxx Concentrator erzeugter RSA Schlüssel zu kurz ist, obwohl die richtige Länge von 2048 Bit angegeben wurde?=== | ||
- | |||
- | Wenn Sie beim Beantragen eines Serverzertifikats über die Webschnittstelle der DFN-PKI die Fehlermeldung erhalten, dass der RSA Schlüssel mit 2047 Bit zu kurz ist, liegt das an einem Fehler im Betriebssystem des VPN Concentrators (Cisco Case-ID CSCsi97749). Es werden u.U. RSA Schlüssel der Länge 2047 Bit erstellt, die der Policy der DFN-PKI nicht genügen. | ||
- | |||
- | Für dieses Problem gibt es in Abhängigkeit vom Zweck des Zertifikats zwei Workarounds: | ||
- | |||
- | 1. **SSL Zertifikat** für WebVPN oder für die Administrationsoberfläche des Cisco VPN 3xxx Concentrator. | ||
- | |||
- | Nutzen Sie OpenSSL, um den Schlüssel und den Request außerhalb der Cisco zu erzeugen (siehe [[https:// | ||
- | |||
- | * Umwandeln des privaten Schlüssels in das PKCS8-Format mit\\ | ||
- | < | ||
- | * Zusammenführen von Serverzertifikat und privatem Schlüssel in einer Datei mit | ||
- | < | ||
- | * Manuelles Importieren in den VPN Concentrator mit | ||
- | < | ||
- | |||
- | Achten Sie auf das richtige Eingeben der Passphrase! Cisco gibt eine verwirrende Fehlermeldung (" | ||
- | |||
- | 2. **Identity Zertifikat** zur Nutzung von IPSec.\\ | ||
- | |||
- | Hierfür gibt es leider nicht die Möglichkeit des Imports von extern erzeugten Schlüsseln. Cisco beschreibt, dass man durch das temporäre Abschalten von vorhandenen SEPs das Gerät dazu zwingen kann, private Schlüssel in Software zu erzeugen. Die Software-Schlüsselerzeugung hat den Bug nicht, so dass hier immer 2048 Bit Schlüssel generiert werden. Nach der Schlüsselerzeugung kann das SEP wieder eingeschaltet werden. Zum Vorgehen siehe Cisco-Workaround | ||
- | |||
- | ===3. Wie installiere ich ein Serverzertifikat in Apache Tomcat?=== | ||
- | |||
- | In Apache Tomcat können neben einem Java-KeyStore auch PKCS# | ||
- | |||
- | Erstellen Sie eine PKCS# | ||
- | |||
- | Connector port=" | ||
- | | ||
- | | ||
- | | ||
- | | ||
- | | ||
- | |||
- | ===4. Wie konfiguriere ich VMware vCenter Server?=== | ||
- | |||
- | Der VMware vCenter Server benötigt für Verwaltungsaufgaben mehrere Zertifikate. Von VMware existiert hierzu eine [[http:// | ||
- | |||
- | 1. Nach Anleitung soll zur eindeutigen Unterscheidung der Zertifikate für die verschiendenen Funktionen der Funktionsname in das OU-Feld des DN aufgenommen werden, also OU=InventoryService, | ||
- | |||
- | / | ||
- | |||
- | Die OU-Attribute stellen hierbei nach Policy physikalische, | ||
- | |||
- | 2. Nach Anleitung soll im SubjectAltName ein Eintrag DNS=ShortServerName aufgeführt werden, der einen Host-Namen ohne weiteren qualifizierenden Domain-Namen repräsentiert. | ||
- | |||
- | Derartige Zertifikate gibt es in der DFN-PKI (wie in allen Browser-verankerten PKIs) nur noch mit einer Gültigkeit bis Oktober 2015. Ab Oktober 2015 können solche Zertifikate in der DFN-PKI gar nicht mehr ausgestellt werden. | ||
- | |||
- | Nach unserer Erfahrung funktioniert der vCenter Server auch mit Zertifikaten, | ||
- | |||
- | 3. Nach Anleitung soll im SubjectAltName ein Eintrag IP=ServerIPAddress aufgeführt werden, der die IP-Adresse des Servers enthält. | ||
- | |||
- | Wird hier eine IP-Adresse aus den für den allgemeinen Gebrauch reservierten IP-Adressen (10.0.0.0-10.255.255.255 (10/8 Prefix), 172.16.0.0-172.31.255.255 (172.16/12 Prefix) und 192.168.0.0-192.168.255.255 (192.168/16 Prefix) sowie den entsprechenden IPv6-Adressräumen) gewählt, so kann das Zertifikat von der DFN-PKI (wie bei allen Browser-verankerten PKIs) nur noch mit einer Gültigkeit bis Oktober 2015 ausgestellt werden. Ab Oktober 2015 können solche Zertifikate in der DFN-PKI gar nicht mehr ausgestellt werden. | ||
- | |||
- | 4. Nach Anleitung sollen die keyUsages " |