| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:servercerts [2025/06/05 13:24] – ↷ Seitename wurde von de:dfnpki:tcs:2025:servercert auf de:dfnpki:tcs:2025:servercerts geändert Antonio Liu | de:dfnpki:tcs:2025:servercerts [2025/09/12 17:20] (aktuell) – Juergen Brauckmann |
|---|
| ===== Serverzertifikate ===== | ===== Serverzertifikate ===== |
| |
| === Vier-Augen-Prinzip === | Serverzertifikate können von Usern mit einem Account im System beantragt werden (siehe [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#user-registrierung|User-Registrierung]]). Alternativ steht [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme|ACME]] zur Verfügung. |
| |
| Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''. | |
| |
| === Zertifikattypen und Antragsstellung === | HARICA unterstützt wie jede PKI [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA Records]]. |
| | ==== Vier-Augen-Prinzip ==== |
| | |
| | Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. |
| | |
| | Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''. |
| | |
| | |
| | ==== Zertifikattypen und Antragsstellung ==== |
| |
| Der Antragsstellende kann über den Menüpunkt "Server" links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung: | Der Antragsstellende kann über den Menüpunkt "Server" links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung: |
| === Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate === | === Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate === |
| |
| Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account im Cert Manager in den Serverzertifikat-Details unter dem Tab "Notifications" weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten. | Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account in den Serverzertifikat-Details unter dem Tab "Notifications" weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten. |
| |
| === Limitierung SANs === | === Limitierung SANs === |
| |
| Die Anzahl der SubjectAlternativeNames ist derzeit auf **100** begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt. | Die Anzahl der SubjectAlternativeNames ist derzeit auf **100** begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt. |
| | |
| | === Automatische Übernahme von Domains in Zertifikatanträge === |
| | |
| | Im ersten Schritt des Zertifikatbeantragungsprozess können Domains für das neu auszustellende Server-Zertifikat aus Dateien importiert/übernommen werden. Verschiedene Dateitypen (''.csv'', ''.crt'', ''.cer'', ''.pem'', ''.csr'') werden dabei akzeptiert. Sofern eine PEM-formatierte CSR-Datei für die Übernahme der Domains importiert werden soll, muss diese die Dateiendung ''.csr'' haben **und** die Domains müssen [[https://blog.pki.dfn.de/2015/12/openssl-csr-fuer-ein-ssl-server-zertifikat-mit-mehreren-host-namen-erzeugen/|im CSR im ''subjectAlternativeName'' stehen]]. Aufrufbeispiel für ''openssl'': |
| | |
| | RSA-Schlüssel: ''openssl req -newkey rsa:4096 -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org' '' |
| | |
| | EC-Schlüssel: ''openssl req -newkey EC -pkeyopt ec_paramgen_curve:P-384 -pkeyopt ec_param_enc:named_curve -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org' '' |
| |
| === Genehmigung === | === Genehmigung === |
| === Download und Bezug der Zertifikatkette === | === Download und Bezug der Zertifikatkette === |
| |
| Der **Antragsstellende** kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. | Der **Antragsstellende** kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015. |
| | |
| | Die Option "PKCS#7 (chain)" enthält das Cross-CA-Zertifikat **nicht** und ist nicht maximal kompatibel. |
| |
| {{:de:dfnpki:harica:ssl-download-user.png?500|Bild des Dialogs Certificate Download}} | {{:de:dfnpki:harica:ssl-download-user.png?500|Bild des Dialogs Certificate Download}} |
| |
| **Hinweis:** Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" **nicht** zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. | **Hinweis:** Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" **nicht** zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. Letzteres wird ebenfalls ohne Cross-CA-Zertifikat ausgeliefert. |
| | |
| |
| === PKCS#7 zu PEM bundle === | === PKCS#7 zu PEM bundle === |
| |
| Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. | Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. |
| |
| ===== ACME ===== | |
| HARICA unterstützt im Prinzip bereits ACME. Zur Zeit steht dieses Feature aber nicht in einer Form zur Verfügung, die für einen regulären Einsatz geeignet ist. Insbesondere fehlt eine Verwaltung von Accounts für das External Account Binding von prevalidierten Domains. | |
| |
| |
| ===== CAA-Records ===== | |
| |
| === harica.gr === | |
| **Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. | |
| |
| Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr''. | |
| |
| Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. | |
| |
| Beispiel: | |
| |
| <code> | |
| muster-uni.de. IN CAA 0 issue "harica.gr" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | |
| </code> | |
| |
| === CNAMEs und CAA-Records === | |
| |
| Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben: | |
| |
| <code> | |
| muster-uni.edu. IN CNAME muster-uni.de. | |
| |
| muster-uni.de. IN CAA 0 issue "harica.gr" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | |
| </code> | |
| |