| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:servercerts [2025/06/24 15:00] – Juergen Brauckmann | de:dfnpki:tcs:2025:servercerts [2025/09/12 17:20] (aktuell) – Juergen Brauckmann |
|---|
| |
| |
| | HARICA unterstützt wie jede PKI [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA Records]]. |
| ==== Vier-Augen-Prinzip ==== | ==== Vier-Augen-Prinzip ==== |
| |
| Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''. | Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. |
| | |
| | Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''. |
| |
| |
| |
| Die Anzahl der SubjectAlternativeNames ist derzeit auf **100** begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt. | Die Anzahl der SubjectAlternativeNames ist derzeit auf **100** begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt. |
| | |
| | === Automatische Übernahme von Domains in Zertifikatanträge === |
| | |
| | Im ersten Schritt des Zertifikatbeantragungsprozess können Domains für das neu auszustellende Server-Zertifikat aus Dateien importiert/übernommen werden. Verschiedene Dateitypen (''.csv'', ''.crt'', ''.cer'', ''.pem'', ''.csr'') werden dabei akzeptiert. Sofern eine PEM-formatierte CSR-Datei für die Übernahme der Domains importiert werden soll, muss diese die Dateiendung ''.csr'' haben **und** die Domains müssen [[https://blog.pki.dfn.de/2015/12/openssl-csr-fuer-ein-ssl-server-zertifikat-mit-mehreren-host-namen-erzeugen/|im CSR im ''subjectAlternativeName'' stehen]]. Aufrufbeispiel für ''openssl'': |
| | |
| | RSA-Schlüssel: ''openssl req -newkey rsa:4096 -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org' '' |
| | |
| | EC-Schlüssel: ''openssl req -newkey EC -pkeyopt ec_paramgen_curve:P-384 -pkeyopt ec_param_enc:named_curve -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org' '' |
| |
| === Genehmigung === | === Genehmigung === |
| === Download und Bezug der Zertifikatkette === | === Download und Bezug der Zertifikatkette === |
| |
| Der **Antragsstellende** kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. | Der **Antragsstellende** kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015. |
| | |
| | Die Option "PKCS#7 (chain)" enthält das Cross-CA-Zertifikat **nicht** und ist nicht maximal kompatibel. |
| |
| {{:de:dfnpki:harica:ssl-download-user.png?500|Bild des Dialogs Certificate Download}} | {{:de:dfnpki:harica:ssl-download-user.png?500|Bild des Dialogs Certificate Download}} |
| |
| **Hinweis:** Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" **nicht** zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. | **Hinweis:** Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" **nicht** zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. Letzteres wird ebenfalls ohne Cross-CA-Zertifikat ausgeliefert. |
| | |
| |
| === PKCS#7 zu PEM bundle === | === PKCS#7 zu PEM bundle === |
| |
| Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. | Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. |
| |
| ===== CAA-Records ===== | |
| |
| === harica.gr === | |
| **Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. | |
| |
| Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr''. | |
| |
| Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. | |
| |
| Beispiel: | |
| |
| <code> | |
| muster-uni.de. IN CAA 0 issue "harica.gr" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | |
| </code> | |
| |
| === CNAMEs und CAA-Records === | |
| |
| Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben: | |
| |
| <code> | |
| muster-uni.edu. IN CNAME muster-uni.de. | |
| |
| muster-uni.de. IN CAA 0 issue "harica.gr" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | |
| </code> | |
| |