Inhaltsverzeichnis

Manuell [OLDSCHOOL]

Serverzertifikat beantragen

FIXME

Anleitung wird derzeit aktualisiert in Arbeit
Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die automatische Ausstellung und Einrichtung über ACME in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.
Serverzertifikate können von allen Mitarbeitern über Harica beantragt werden. Es obligt den Administratoren (pki@hs-schmalkalden.de) diese Anträgen auch zu genehmigen. Bitte bei neuen Serverzertifikaten den Administratoren vorab Bescheid geben, dann können Missverständnisse vermieden und der Vorgang beschläunigt werden.
  1. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
  2. Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
  3. Navigieren Sie im linken Menü zu „Server“, um ein entsprechendes Zertifikat zu beantragen:
  4. Geben Sie die Daten des Servers für den Zertifikatsantrag ein:
    • einen beschreibenden Namen wie den Servernamen oder/und die Funktion unter 1
    • geben Sie alle Domains unter 2 an, die für den Server zertifiziert werden sollen
    • mit „+ Add more Domains“ können Sie weitere Zeilen hinzufügen
    • wählen Sie, ob die jeweilige Domain zusätzlich mit „www.“ im Zertifikat enthalten sein soll 3
    • wenn alle Domains eingetragen wurden, betätigen Sie „Next“:
  5. Betätigen Sie „Select“ bei der Option „For enterprise or organization(OV)“:
  6. Bestätigen Sie Ihre Auswahl mit „Next“:
  7. Es werden die Organizations Informationen angezeigt, bestätigen Sie mit „Next“:
  8. Es werden ale Informationen zum Zertifikat zusammengefasst angezeigt.
    • Bestätigen Sie die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA (Sie können diese gerne lesen)
    • betätigen Sie „Next“:
  9. Nun benötigen Sie eine Zertifikatsantrags-Datei (CSR):
    • Sie können diese zusammen mit einem private Key von Harica generieren lassen 1
      ODER
    • Sie können den Inhalt einer vorhanden CSR-Datei Ihres Servers hochladen 2 CSR generieren
Auto-generate manually Submit
* Wählen Sie „Auto-generate CSR“ 1
* Wir empfehlen als „Algorithm“ RSA mit einer „Key size“ 4096 (bit) 2
* Geben Sie ein Passwort für das Serverzertifikat ein 3
* Die Administratoren und auch HARICA können das Passwort nicht einsehen oder zurücksetzen, daher gut merken
* Bestätigen Sie erneut die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA
* Betätigen Sie „Next“
 Bild7.m
* Laden Sie den Private Key herunter, welcher für das Serverzertifikat benötigt wird und legen Sie ihn sicher ab 1
* DIES IST DER EINZIGE MOMENT, BEI DEM SIE DIESEN KEY HERUNTERLDAEN KÖNNEN
* haben Sie den Private Key heruntergeladen, Bestätigen Sie dies mit dem Haken bei 2
* Beenden SIe den Vorgang mit „Go back to dashboard“

10. Der Antrag sollte nun bei den Administratoren eingegangen sein nach Bearbeitung Ihres Antrags erhalten Sie eine E-Mail von Harica.
11. Sie können Ihre Server-Zertifikatsanträge unter „Enterprise/SSL Requests“ einsehen: Bild9

Serverzertifikat herunterladen

  1. Wenn Ihr Zertifikats-Antrag genehmigt wurde erhalten Sie eine E-Mail
  2. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
  3. In Ihem Dashboard sehen Sie Ihre Serverzertifikate chronologisch sortiert
  4. Betätigen Sie den Download-Knopf
  5. Wählen Sie das benötigte Zerifikatsformat/Inhalt aus:
    • PEM –> Das Serverzertifikat einzeln (wenn dies einzeln benötigt wird, weil die CA in einem separatem File gespeichert wird)
    • PEM (bundle) –> Das Serverzertifikat mit CA-Zertifikatskette (wenn das Zertifikat und die Zertifikatskette in einer Datei benötigt wird / die Zertifikatskette aktualisiert werden muss)
    • PEM (root-CA) –> Das Serverzertifikat mit rootCA-Zertifikatskette (wenn das Zertifikat und die rootCA benötigt wird / die rootCA aktualisert werden muss)
    • […] weitere
  6. Die Zertifikats-Datei(-en) müssen nun auf den uzgehörigen Server abgelegt werden

Serverzertifikat einbinden

Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL

Ein großer Anteil an Serversoftware (u.A. Nginx, Apache, …) erwartet TLS-Zertifiakte im PEM- und nicht im PKCS#12-Format. Die über das Webformular im PKCS#12-Format ausgestellten Zertifikate müssen daher vorab konvertiert werden, um für diese Servertypen verwendbar zu sein. Hierfür bietet sich das OpenSSL-Toolkit an.

Ausgabe Befehl
Nur Zertifikat openssl pkcs12 -out cert.pem -nokeys -clcerts -in cert.p12
Nur privater Schlüssel mit Passwort openssl pkcs12 -out cert.enc.key -nocerts -in cert.p12
Nur privater Schlüssel ohne Passwort openssl pkcs12 -out cert.key -nocerts -nodes -in cert.p12
Zertifikat und privater Schlüssel mit Passwort in einer Datei openssl pkcs12 -out cert+key.enc.pem -clcerts -in cert.p12
Zertifikat und privater Schlüssel ohne Passwort in einer Datei openssl pkcs12 -out cert+key.pem -clcerts -nodes -in cert.p12
Nur CA-Zertifikate / Zertifikatskette openssl pkcs12 -out chain.pem -nokeys -cacerts -in cert.p12
Zertifikat und CA-Zertifikate / komplette Zertifikatskette openssl pkcs12 -out fullchain.pem -nokeys -in cert.p12
Alles mit Passwort in einer Datei openssl pkcs12 -out all.enc.pem -in cert.p12
Alles ohne Passwort in einer Datei openssl pkcs12 -out all.pem -nodes -in cert.p12

Windows

Dieser Abschnitt ist in Arbeit! (ToDo)

Apache

Dieser Abschnitt ist in Arbeit! (ToDo)

Nginx

Dieser Abschnitt ist in Arbeit! (ToDo)

Proxmox

Offizielle Dokumentation: https://pve.proxmox.com/wiki/Certificate_Management

In der Konsole [EMPFOHLEN]
  1. Laden Sie Ihre .p12-Zertifikatsdatei (bspw. mit scp oder SFTP-Browser) auf Ihren Proxmox-Knoten nach /etc/pve/local hoch: scp _LOKALER_PFAD_IHRES_ZERTIFIKATS_.p12 root@_IHR_HOST_:/etc/pve/local/
  2. Verbinden Sie sich über SSH mit dem Knoten oder melden Sie sich lokal an.
  3. Navigieren Sie nach /etc/pve/local: cd /etc/pve/local
  4. Exportieren Sie Ihr Zertifikat ins PEM-Format nach pveproxy-ssl.pem: openssl pkcs12 -out pveproxy-ssl.pem -nokeys -clcerts -in *.p12
  5. Exportieren Sie den privaten Schlüssel Ihres Zertifikats ins PEM-Format ohne Passwort nach pveproxy-ssl.key: openssl pkcs12 -out pveproxy-ssl.key -nocerts -nodes -in *.p12
  6. Starten Sie den Dienst pveproxy neu: systemctl restart pveproxy
  7. Löschen Sie ggf. die hochgeladene .p12-Datei: rm *.p12
WebGUI
Da im Vergleich zur Einrichtung über die Konsole noch zusätzliche Schritte nötig sind, der Prozess aber ansonsten komplett identisch ist, wird dieser Einrichtungsweg nicht empfohlen.
  1. Exportieren Sie zuerst von Ihrer .p12-Zertifikatsdatei das Zertifikat und den zugehörigen privaten Schlüssel ohne Passwort jeweils im PEM-Format. Dies ist nahezu mit der Einrichtung in der Konsole identisch, mit Ausnahme des letzten Schritts.
  2. Navigieren Sie im Proxmox Web GUI bei den Einstellungen Ihres Knotens (1) zu System/Certificates (2) und klicken Sie dort auf Upload Custom Certificate (3).
  3. Fügen Sie im Folgedialog als Private Key (1) den zuvor exportierten privaten Schlüssel und als Certifiate Chain (2) Ihr Zertifikat ein. Sie können entweder die Dateiinhalte in das entsprechende Textfeld einfügen (3) oder die Dateien hochladen (4). Im Gegensatz zur Einrichtung über die Konsole müssen Sie in beiden Feldern abschließend noch einige Zusatzzeilen ("Bag Attributes") oberhalb der Zeilen —–BEGIN … entfernen, die zur Ablehnung Ihrer Eingaben führen würden (5). Löschen Sie keinesfalls andere Zeilen! Bestätigen Sie zum Schluss den Dialog mit Upload (6).
  4. Nun sollte folgende Bestätigungsmeldung API server will be restarted to use new certificates, please reload web-interface! erscheinen. Befolgen Sie diese und laden Sie den aktuellen Browser-Tab neu:
  5. Der Zugriff auf das PVE Web GUI über HTTPS sollte ab jetzt ohne Zertifikatsausnahme möglich sein. Entfernen Sie daher etwaige Ausnahmen!
  6. Sie können die Zertifikatseinrichtung abschließend unter System/Certificates (1) in der Übersicht prüfen (2):