Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:server-zertifikate:manuell [2026/04/09 14:43] – [Tabelle] Carl Meffert
+++ zertifikate:pki:server-zertifikate:manuell [2026/04/10 11:30] (aktuell) – gelöscht Carl Meffert
@@ Zeile 1: / Zeile 1: @@
-===== Manuell [OLDSCHOOL]=====
-==== Serverzertifikat beantragen ====
-FIXME
-<note important>Anleitung wird derzeit aktualisiert in Arbeit</note>
-<note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[#automatische_ausstellung_und_einrichtung_ueber_acme_empfohlen|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note>
-<note> Serverzertifikate können von allen Mitarbeitern über Harica beantragt werden. Es obligt den Administratoren (pki@hs-schmalkalden.de) diese Anträgen auch zu genehmigen. Bitte bei neuen Serverzertifikaten den Administratoren vorab Bescheid geben, dann können Missverständnisse vermieden und der Vorgang beschläunigt werden.</note>
-  - Anmeldung bei [[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]] via [[zertifikate:pki:idp-anmeldung|Academic Login / IDP-Anmeldung]]
-  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
-  - Navigieren Sie im linken Menü zu "Server", um ein entsprechendes Zertifikat zu beantragen:\\ {{:zertifikate:pki:harica-server-01.png?600|}}
-  - Geben Sie die Daten des Servers für den Zertifikatsantrag ein:
-    * einen beschreibenden Namen wie den Servernamen oder/und die Funktion unter <fc #ed1c24>**1**</fc>
-    * geben Sie alle Domains unter <fc #ed1c24>**2**</fc> an, die für den Server zertifiziert werden sollen
-    * mit "+ Add more Domains" können Sie weitere Zeilen hinzufügen
-    * wählen Sie, ob die jeweilige Domain zusätzlich mit "www." im Zertifikat enthalten sein soll <fc #ed1c24>**3**</fc>
-    * wenn alle Domains eingetragen wurden, betätigen Sie "Next": \\ {{:zertifikate:pki:harica-server-02.png?400|}}
-  - Betätigen Sie "Select" bei der Option "For enterprise or organization(OV)": \\ {{:zertifikate:pki:harica-server-03.png?400|}}
-  - Bestätigen Sie Ihre Auswahl mit "Next": \\ {{:zertifikate:pki:harica-server-04.png?400|}}
-  - Es werden die Organizations Informationen angezeigt, bestätigen Sie mit "Next": \\ {{:zertifikate:pki:harica-server-05.png?400|}}
-  - Es werden ale Informationen zum Zertifikat zusammengefasst angezeigt.
-    * Bestätigen Sie die "Terms of Use", die "Certification Practices" und die "Data Orivacy Statements" von HARICA (//Sie können diese gerne lesen//)
-    * betätigen Sie "Next": \\ {{:zertifikate:pki:harica-server-06.png?400|}}
-  - Nun benötigen Sie eine Zertifikatsantrags-Datei (CSR):
-    * Sie können diese zusammen mit einem private Key von Harica generieren lassen <fc #ed1c24>**1**</fc> \\ ODER
-    * Sie können den Inhalt einer vorhanden CSR-Datei Ihres Servers hochladen <fc #ed1c24>**2**</fc> [[zertifikat:pki:csr-generieren||CSR generieren]]
-^ Auto-generate                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               ^   ^ manually Submit  ^
-| Wählen Sie "Auto-generate CSR" <fc #ed1c24>**1**</fc> \\ Wir empfehlen als "Algorithm" RSA mit einer "Key size" 4096 (bit) <fc #ed1c24>**2**</fc> \\ Geben Sie ein Passwort für das Serverzertifikat ein <fc #ed1c24>**3**</fc> \\ Die Administratoren und auch HARICA können das Passwort nicht einsehen oder zurücksetzen, daher gut merken \\ Bestätigen Sie erneut die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA \\ Betätigen Sie "Next"\\ {{:zertifikate:pki:harica-server-07-generate-csr.png?400}}  |   | Bild7.m          |
-| Laden Sie den Private Key herunter, welcher für das Serverzertifikat benötigt wird und legen Sie ihn sicher ab <fc #ed1c24>**1**</fc> \\ <fc #ed1c24>**DIES IST DER EINZIGE MOMENT, BEI DEM SIE DIESEN KEY HERUNTERLDAEN KÖNNEN**</fc> \\ haben Sie den Private Key heruntergeladen, Bestätigen Sie dies mit dem Haken bei <fc #ed1c24>**2**</fc> \\ Beenden SIe den Vorgang mit "Go back to dashboard"\\ {{:zertifikate:pki:harica-server-08-generate-csr.png?400}}                                                                                        |   |                  |
-. Der Antrag sollte nun bei den Administratoren eingegangen sein nach Bearbeitung Ihres Antrags erhalten Sie eine E-Mail von Harica. \\
-. Sie können Ihre Server-Zertifikatsanträge unter "Enterprise/SSL Requests" einsehen: Bild9
-==== Serverzertifikat herunterladen ===
-  - Wenn Ihr Zertifikats-Antrag genehmigt wurde erhalten Sie eine E-Mail
-  - Anmeldung bei [[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]] via [[zertifikate:pki:idp-anmeldung|Academic Login / IDP-Anmeldung]]
-  - In Ihem Dashboard sehen Sie Ihre Serverzertifikate chronologisch sortiert
-  - Betätigen Sie den Download-Knopf
-  - Wählen Sie das benötigte Zerifikatsformat/Inhalt aus:
-    * PEM --> Das Serverzertifikat einzeln (wenn dies einzeln benötigt wird, weil die CA in einem separatem File gespeichert wird)
-    * PEM (bundle) --> Das Serverzertifikat mit CA-Zertifikatskette (wenn das Zertifikat und die Zertifikatskette in einer Datei benötigt wird / die Zertifikatskette aktualisiert werden muss)
-    * PEM (root-CA) --> Das Serverzertifikat mit rootCA-Zertifikatskette (wenn das Zertifikat und die rootCA benötigt wird / die rootCA aktualisert werden muss)
-    * [...] weitere
-  - Die Zertifikats-Datei(-en) müssen nun auf den uzgehörigen Server abgelegt werden
-==== Serverzertifikat einbinden====
-=== Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL ===
-Ein großer Anteil an Serversoftware (u.A. Nginx, Apache, ...) erwartet TLS-Zertifiakte im [[https://de.wikipedia.org/wiki/Privacy_Enhanced_Mail|PEM]]- und nicht im [[https://de.wikipedia.org/wiki/Public-Key_Cryptography_Standards|PKCS#12]]-Format. Die über das Webformular im PKCS#12-Format ausgestellten Zertifikate müssen daher vorab konvertiert werden, um für diese Servertypen verwendbar zu sein. Hierfür bietet sich das [[https://www.openssl.org|OpenSSL-Toolkit]] an.
-  * Ausgangsbeispieldatei: ''cert.p12''
-  * **Fett** markierte Ausgaben benötigt man wahrscheinlich am häufigsten
-  * Der Ausgabedateiname ist __unterstrichen__
-  * Alle Dateinamen sind beispielhafte Empfehlungen
-^ Ausgabe                                                        ^ Befehl ^
-| **Nur Zertifikat**                                             | ''openssl pkcs12 -out __cert.pem__ -nokeys -clcerts -in cert.p12''|
-| **Nur privater Schlüssel mit Passwort**                        | ''openssl pkcs12 -out __cert.enc.key__ -nocerts -in cert.p12''|
-| **Nur privater Schlüssel ohne Passwort**                       | ''openssl pkcs12 -out __cert.key__ -nocerts -nodes -in cert.p12''|
-| Zertifikat und privater Schlüssel mit Passwort in einer Datei  | ''openssl pkcs12 -out __cert+key.enc.pem__ -clcerts -in cert.p12''|
-| Zertifikat und privater Schlüssel ohne Passwort in einer Datei | ''openssl pkcs12 -out __cert+key.pem__ -clcerts -nodes -in cert.p12''|
-| Nur CA-Zertifikate / Zertifikatskette                          | ''openssl pkcs12 -out __chain.pem__ -nokeys -cacerts -in cert.p12''|
-| **Zertifikat und CA-Zertifikate / komplette Zertifikatskette** | ''openssl pkcs12 -out __fullchain.pem__ -nokeys -in cert.p12''|
-| Alles mit Passwort in einer Datei                              | ''openssl pkcs12 -out __all.enc.pem__ -in cert.p12'' |
-| Alles ohne Passwort in einer Datei                             | ''openssl pkcs12 -out __all.pem__ -nodes -in cert.p12'' |
-=== Windows ===
-<note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-=== Apache ===
-<note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-=== Nginx ===
-<note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-=== Proxmox ===
-Offizielle Dokumentation: [[https://pve.proxmox.com/wiki/Certificate_Management]]
-== In der Konsole [EMPFOHLEN] ==
-  - Laden Sie Ihre .p12-Zertifikatsdatei (bspw. mit ''scp'' oder SFTP-Browser) auf Ihren Proxmox-Knoten nach ''/etc/pve/local'' hoch: ''scp _LOKALER_PFAD_IHRES_ZERTIFIKATS_.p12 root@_IHR_HOST_:/etc/pve/local/''
-  - Verbinden Sie sich über SSH mit dem Knoten oder melden Sie sich lokal an.
-  - Navigieren Sie nach ''/etc/pve/local'': ''cd /etc/pve/local''
-  - Exportieren Sie Ihr Zertifikat ins PEM-Format nach ''pveproxy-ssl.pem'': ''openssl pkcs12 -out pveproxy-ssl.pem -nokeys -clcerts -in *.p12''
-  - Exportieren Sie den privaten Schlüssel Ihres Zertifikats ins PEM-Format ohne Passwort nach ''pveproxy-ssl.key'': ''openssl pkcs12 -out pveproxy-ssl.key -nocerts -nodes -in *.p12''
-  - Starten Sie den Dienst ''pveproxy'' neu: ''systemctl restart pveproxy''
-  - Löschen Sie ggf. die hochgeladene .p12-Datei: ''rm *.p12''
-== WebGUI ==
-<note important>Da im Vergleich zur Einrichtung über die Konsole noch zusätzliche Schritte nötig sind, der Prozess aber ansonsten komplett identisch ist, wird dieser Einrichtungsweg nicht empfohlen.</note>
-  - Exportieren Sie zuerst von Ihrer .p12-Zertifikatsdatei das **Zertifikat** und den zugehörigen **privaten Schlüssel ohne Passwort** jeweils im PEM-Format. Dies ist nahezu mit der Einrichtung in der Konsole identisch, mit Ausnahme des letzten Schritts.
-  - Navigieren Sie im Proxmox Web GUI bei den Einstellungen Ihres Knotens (<fc #ff0000>**1**</fc>) zu ''System/Certificates'' (<fc #ff0000>**2**</fc>) und klicken Sie dort auf ''Upload Custom Certificate'' (<fc #ff0000>**3**</fc>). {{ zertifikate:pki:server-pve-1.png?direct&600 |}}
-  - Fügen Sie im Folgedialog als ''Private Key'' (<fc #ff0000>**1**</fc>) den zuvor exportierten privaten Schlüssel und als ''Certifiate Chain'' (<fc #ff0000>**2**</fc>) Ihr Zertifikat ein. Sie können entweder die Dateiinhalte in das entsprechende Textfeld einfügen (<fc #B5E61D>**3**</fc>) oder die Dateien hochladen (<fc #FF7F27>**4**</fc>). Im Gegensatz zur Einrichtung über die Konsole müssen Sie in beiden Feldern abschließend noch einige Zusatzzeilen (%%"Bag Attributes"%%) oberhalb der Zeilen ''-----BEGIN ...'' entfernen, die zur Ablehnung Ihrer Eingaben führen würden (<fc #A349A4>**5**</fc>). Löschen Sie keinesfalls andere Zeilen! Bestätigen Sie zum Schluss den Dialog mit ''Upload'' (<fc #ff0000>**6**</fc>). {{ zertifikate:pki:server-pve-2.png?direct&600 |}}
-  - Nun sollte folgende Bestätigungsmeldung ''%%API server will be restarted to use new certificates, please reload web-interface!%%'' erscheinen. Befolgen Sie diese und laden Sie den aktuellen Browser-Tab neu: {{ zertifikate:pki:server-pve-3.png?direct&600 |}}
-  - Der Zugriff auf das PVE Web GUI über HTTPS sollte ab jetzt ohne Zertifikatsausnahme möglich sein. Entfernen Sie daher etwaige Ausnahmen!
-  - Sie können die Zertifikatseinrichtung abschließend unter ''System/Certificates'' (<fc #ff0000>**1**</fc>) in der Übersicht prüfen (<fc #ff0000>**2**</fc>): {{ zertifikate:pki:server-pve-4.png?direct&600 |}}