Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:server-zertifikate [2026/04/08 13:29] – [Manuelle Ausstellung über Webformular] Carl Meffert
+++ zertifikate:pki:server-zertifikate [2026/04/08 13:48] (aktuell) – [Serverzertifikat - Manuell [OLDSCHOOL]] Carl Meffert
@@ Zeile 10: / Zeile 10: @@
 <note tip>[[https://ssl-config.mozilla.org|ssl-config.mozilla.org]] kann Ihnen eine zeitgemäße TLS-Serverkonfiguration generieren. Mit [[https://www.ssllabs.com/ssltest|www.ssllabs.com/ssltest]] können Sie eine vorhandene Konfiguration analysieren und auf Schwachstellen testen lassen.</note>
-===== ACME - Automatisiert [EMPFOHLEN] =====
+===== Automatisiert per ACME [EMPFOHLEN] =====
 Mithilfe eines [[https://de.wikipedia.org/wiki/Automatic_Certificate_Management_Environment|ACME]]-Clients können Serverzertifikate komfortabel **unbeaufsichtigt automatisch beantragt, abgeholt, installiert** und **erneuert** werden. Dies reduziert den Betreuungsaufwand und Fehleranfälligkeit des Endsystems enorm, da die Ersteinrichtung von Zertifikaten vereinfacht wird und anschließend auch kein regelmäßiger, manueller Eingriff mehr nötig ist.
@@ Zeile 236: / Zeile 236: @@
   - Vergessen Sie als Abschluss nicht, etwaige Zertifikatsausnahmen zu entfernen!
-===== Zertifikat manuell Ausstellen und Aktualisieren =====
+===== Manuell [OLDSCHOOL]=====
-<note tip>Das Webformular für den Antrag befindet sich unter [[https://cert-manager.com/customer/DFN/ssl/HSM]].</note>
+==== Serverzertifikat beantragen ====
+FIXME
+<note important>Anleitung wird derzeit aktualisiert in Arbeit</note>
 <note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[#automatische_ausstellung_und_einrichtung_ueber_acme_empfohlen|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note>
-<note warning>Wenn Sie über dieses Webformular ein Zertifikat für eine Domain ausstellen lassen möchten, welche keine Subdomain Ihres Bereichs ist, muss Ihr Enrollment-Account vorab dafür freigeschaltet werden. Kontaktieren Sie hierfür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls bricht der Prozess beim Absenden des Formulars mit der Fehlermeldung ''This domain '<hostname>.hs-schmalkalden.de' is not available for enrollment. Please contact administrator.'' ab. Als Beispiel ist der Enrollment-Account ''Rechenzentrum'' berechtigt, Zertifikate für den FQDN ''webserver.rz.hs-schmalkalden.de'' aber **nicht** für ''webserver.hs-schmalkalden.de'' auszustellen.</note>
+<note> Serverzertifikate können von allen Mitarbeitern über Harica beantragt werden. Es obligt den Administratoren (pki@hs-schmalkalden.de) diese Anträgen auch zu genehmigen. Bitte bei neuen Serverzertifikaten den den Administratoren vorab Bescheid geben, dann können Missverständnisse vermieden und der Vorgang beschläunigt werden.</note>
-  - Falls Sie berechtigt sind, für andere Verwaltungsbereiche Serverzertifikate zu beantragen, müssen Sie als ersten Schritt im Webformular den Account des gewünschten Bereichs (<fc #ff0000>**1**</fc>) auswählen und mit ''Next'' bestätigen (<fc #ff0000>**2**</fc>). Sollten Sie nur zur Nutzung eines einzelnen Accounts berechtigt sein, wird dieser automatisch ausgewählt und diese Rückfrage übersprungen. Kontaktieren Sie bitte das Rechenzentrum über [[pki@hs-schmalkalden.de]], falls Ihnen ein benötigter Account nicht zur Auswahl steht. {{ zertifikate:server-1.png?direct&400 |}}
-  - Sie sollten sich nun im eigentlichen Formular befinden:
-    - Dort müssen Sie das ''Profil'' (Certificate Profile) (<fc #ff0000>**1**</fc>) für Ihr Zertifikat definieren, welches im Wesentlichen über seine Eigenschaften und weitere Auswahlmöglichkeiten bestimmt. I.d.R. ist aber das Profil ''OV Multi-Domain'' fest vorgegeben, da es am flexibelsten ist.
-    - Die ''Gültigkeit'' des Zertifikats (Certificate Term) ist durch Sectico immer auf 1 Jahr festgelegt (<fc #ff0000>**2**</fc>).
-    - Als ''Schlüsseltyp'' (Key Type) sollten Sie mindestens ''RSA - 4096'' oder ''EC - P-256'' auswählen (<fc #ff0000>**3**</fc>), um zukunftssicher zu sein. Dies bestimmt vor allem die Resistenz der Verschlüsselung gegen Brute-Force-Angriffe.
-    - Bei ''Common Name'' (<fc #ff0000>**4**</fc>) tragen Sie den vollständigen Domainnamen (FQDN) Ihres Dienstes ein, der mit einem Zertifikat ausgestattet werden soll.
-    - Falls Ihr Dienst über mehrere FQDNs erreichbar ist, können diese für die Profile ''OV Multi-Domain'' und ''Unified Communications Certificate'' als ''Subject Alternative Names'' hinzugefügt werden (<fc #ff0000>**5**</fc>).
-    - Wenn Ihr Zertifikat **Wildcard-Domains** beinhalten soll, können Sie diese mit einem ''*'' am Anfang vorzugsweise bei ''Subject Alternative Names'' oder als ''Common Name'' angeben. Eine Wildcard gilt für **genau einen** Domain-Level! ''*.bereich.hs-schmalkalden.de'' ist daher bspw. für ''dienst-a.bereich.hs-schmalkalden.de'' oder ''dienst-b.bereich.hs-schmalkalden.de'', aber nicht für ''dienst-c.labor.bereich.hs-schmalkalden.de'' oder ''bereich.hs-schmalkalden.de'' gültig! Es empfiehlt sich daher meist, eine Wildcard-Domain immer zusammen mit ihrer Über-Domain zu beantragen. Beachten Sie, dass Ihr Verwaltungsbereich ggf. (noch) nicht zur Ausstellung von Zertifikaten mit Wildcard berechtigt ist. Kontaktieren Sie daher bitte zur Freischaltung formlos das Rechenzentrum mit Ihrer Wunschdomain unter [[pki@hs-schmalkalden.de]].
-    - Wenn Sie möchten, dass das ausgestellte Zertifikat außerdem einer oder mehreren weiteren (externen) Person(en) (bspw. systembetreuenden Studierenden) gesendet wird, können Sie ihre E-Mail-Adresse(n) bei ''External Requesters'' hinterlegen (<fc #ff0000>**6**</fc>).
-    - Das Kommentarfeld (Comments) (<fc #ff0000>**7**</fc>) ist optional und dient nur zu Dokumentations- bzw. zu Beschreibungszwecken, falls für den aktuell ausgewählten Account Zertifikate ausschließlich manuell von Mitarbeitern des Rechenzentrums genehmigt werden.
-    - Zur Prozessvereinfachung empfiehlt es sich ''Auto Renew'' zu aktivieren. Dies hat zur Folge, dass automatisch ein Nachfolgezertifikat beantragt und Ihnen nach der Genehmigung per E-Mail gesendet wird, sobald das Ablaufdatum des Zertifikats nur noch die darunter definierte Anzahl an Tagen (<fc #ff0000>**9**</fc>) entfernt ist.
-    - Bestätigen Sie Ihren Antrag mit ''Submit'' (<fc #ff0000>**10**</fc>). Nun sollten Sie innerhalb weniger Augenblicke eine Bestätigungs-Mail erhalten. Diese E-Mail enthält **nicht** den privaten Schlüssel! Der Download dieses privaten Schlüssels erfolgt in Kürze in Ihrem Browser. {{ zertifikate:server-2.png?direct&400 |}}
-  - Befolgen Sie daher den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht! {{ zertifikate:pki:server-3-dontclose.png?direct&600 |}}
-  -
-    - Der ''Key protection algorithm'' ist an dieser Stelle nicht besonders relevant, da Sie bei der manuellen Einrichtung i.d.R. die .p12-Datei sowieso in ein anderes Format konvertieren müssen. Wählen Sie daher bevorzugt den neueren, sichereren Standard ''Secure AES256-SHA256'' aus (<fc #ff0000>**1**</fc>).
-    - Legen Sie ein sicheres ''Passwort'' fest (<fc #ff0000>**2**</fc>), das den privaten Schlüssel beim anschließenden Download verschlüsselt. Bedenken Sie, dass Sie dieses Passwort später beim Einrichten des Zertifikats brauchen werden. Nutzen Sie optimalerweise einen Passwort-Manager (bspw. [[https://keepass.info|KeePass]]), um sich das Passwort zu notieren!
-    - Schließen Sie den Dialog mit dem Button ''Download'' ab (<fc #ff0000>**3**</fc>). {{ zertifikate:pki:server-4-pwd.png?direct&600 |}}
-  - Befolgen Sie erneut den Hinweis und schließen Sie nicht den aktuellen Browser-Tab! In Kürze sollten Sie zum Download des beantragten Zertifikats inkl. seines privaten Schlüssels im ''PKCS#12''-Format aufgefordert werden. Je nach Ihren persönlichen Browser-Einstellungen erfolgt dieser Download ggf. automatisch ohne Dialog. Prüfen Sie daher Ihr Download-Verzeichnis, falls Sie die ausgestellte Zertifikatsdatei vermissen.
-===== Manuelle Einrichtung =====
-==== Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL ====
+==== Serverzertifikat einbinden====
+=== Formatkonvertierung von PKCS#12 nach PEM mit OpenSSL ===
 Ein großer Anteil an Serversoftware (u.A. Nginx, Apache, ...) erwartet TLS-Zertifiakte im [[https://de.wikipedia.org/wiki/Privacy_Enhanced_Mail|PEM]]- und nicht im [[https://de.wikipedia.org/wiki/Public-Key_Cryptography_Standards|PKCS#12]]-Format. Die über das Webformular im PKCS#12-Format ausgestellten Zertifikate müssen daher vorab konvertiert werden, um für diese Servertypen verwendbar zu sein. Hierfür bietet sich das [[https://www.openssl.org|OpenSSL-Toolkit]] an.
@@ Zeile 286: / Zeile 271: @@
 | Alles ohne Passwort in einer Datei                             | ''openssl pkcs12 -out __all.pem__ -nodes -in cert.p12'' |
-==== Windows ====
+=== Windows ===
 <note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-==== Apache ====
+=== Apache ===
 <note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-==== Nginx ====
+=== Nginx ===
 <note important>Dieser Abschnitt ist in Arbeit! (ToDo)</note>
-==== Proxmox ====
+=== Proxmox ===
 Offizielle Dokumentation: [[https://pve.proxmox.com/wiki/Certificate_Management]]
-=== In der Konsole [EMPFOHLEN] ===
+== In der Konsole [EMPFOHLEN] ==
   - Laden Sie Ihre .p12-Zertifikatsdatei (bspw. mit ''scp'' oder SFTP-Browser) auf Ihren Proxmox-Knoten nach ''/etc/pve/local'' hoch: ''scp _LOKALER_PFAD_IHRES_ZERTIFIKATS_.p12 root@_IHR_HOST_:/etc/pve/local/''
@@ Zeile 312: / Zeile 297: @@
   - Löschen Sie ggf. die hochgeladene .p12-Datei: ''rm *.p12''
-=== Im Web GUI ===
+== Im Web GUI ==
 <note important>Da im Vergleich zur Einrichtung über die Konsole noch zusätzliche Schritte nötig sind, der Prozess aber ansonsten komplett identisch ist, wird dieser Einrichtungsweg nicht empfohlen.</note>