| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:servercerts [2025/09/04 13:08] – [Zertifikattypen und Antragsstellung] Reimer Karlsen-Masur | de:dfnpki:tcs:2025:servercerts [2025/09/12 17:20] (aktuell) – Juergen Brauckmann |
|---|
| Im ersten Schritt des Zertifikatbeantragungsprozess können Domains für das neu auszustellende Server-Zertifikat aus Dateien importiert/übernommen werden. Verschiedene Dateitypen (''.csv'', ''.crt'', ''.cer'', ''.pem'', ''.csr'') werden dabei akzeptiert. Sofern eine PEM-formatierte CSR-Datei für die Übernahme der Domains importiert werden soll, muss diese die Dateiendung ''.csr'' haben **und** die Domains müssen [[https://blog.pki.dfn.de/2015/12/openssl-csr-fuer-ein-ssl-server-zertifikat-mit-mehreren-host-namen-erzeugen/|im CSR im ''subjectAlternativeName'' stehen]]. Aufrufbeispiel für ''openssl'': | Im ersten Schritt des Zertifikatbeantragungsprozess können Domains für das neu auszustellende Server-Zertifikat aus Dateien importiert/übernommen werden. Verschiedene Dateitypen (''.csv'', ''.crt'', ''.cer'', ''.pem'', ''.csr'') werden dabei akzeptiert. Sofern eine PEM-formatierte CSR-Datei für die Übernahme der Domains importiert werden soll, muss diese die Dateiendung ''.csr'' haben **und** die Domains müssen [[https://blog.pki.dfn.de/2015/12/openssl-csr-fuer-ein-ssl-server-zertifikat-mit-mehreren-host-namen-erzeugen/|im CSR im ''subjectAlternativeName'' stehen]]. Aufrufbeispiel für ''openssl'': |
| |
| RSA-Schlüssel: ''openssl req -newkey rsa:4096 -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org''' | RSA-Schlüssel: ''openssl req -newkey rsa:4096 -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org' '' |
| |
| EC-Schlüssel: ''openssl req -newkey EC -pkeyopt ec_paramgen_curve:P-384 -pkeyopt ec_param_enc:named_curve -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org''' | EC-Schlüssel: ''openssl req -newkey EC -pkeyopt ec_paramgen_curve:P-384 -pkeyopt ec_param_enc:named_curve -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org' '' |
| |
| === Genehmigung === | === Genehmigung === |
| === Download und Bezug der Zertifikatkette === | === Download und Bezug der Zertifikatkette === |
| |
| Der **Antragsstellende** kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. | Der **Antragsstellende** kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015. |
| | |
| | Die Option "PKCS#7 (chain)" enthält das Cross-CA-Zertifikat **nicht** und ist nicht maximal kompatibel. |
| |
| {{:de:dfnpki:harica:ssl-download-user.png?500|Bild des Dialogs Certificate Download}} | {{:de:dfnpki:harica:ssl-download-user.png?500|Bild des Dialogs Certificate Download}} |
| |
| **Hinweis:** Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" **nicht** zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. | **Hinweis:** Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" **nicht** zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. Letzteres wird ebenfalls ohne Cross-CA-Zertifikat ausgeliefert. |
| | |
| |
| === PKCS#7 zu PEM bundle === | === PKCS#7 zu PEM bundle === |