Wiki Rechenzentrum Hochschule Schmalkalden

1. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
2. Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
3. Navigieren Sie im linken Menü zu „Server“, um ein entsprechendes Zertifikat zu beantragen:
   
4. Geben Sie die Daten des Servers für den Zertifikatsantrag ein:
   • einen beschreibenden Namen wie den Servernamen oder/und die Funktion unter 1
   • geben Sie alle Domains unter 2 an, die für den Server zertifiziert werden sollen
   • mit „+ Add more Domains“ können Sie weitere Zeilen hinzufügen
   • wählen Sie, ob die jeweilige Domain zusätzlich mit „www.“ im Zertifikat enthalten sein soll 3
   • wenn alle Domains eingetragen wurden, betätigen Sie „Next“:
     
5. Betätigen Sie „Select“ bei der Option „For enterprise or organization(OV)“:
   
6. Bestätigen Sie Ihre Auswahl mit „Next“:
   
7. Es werden die Organizations Informationen angezeigt, bestätigen Sie mit „Next“:
   
8. Es werden ale Informationen zum Zertifikat zusammengefasst angezeigt.
   • Bestätigen Sie die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA (Sie können diese gerne lesen)
   • betätigen Sie „Next“:
     
9. Nun benötigen Sie eine Zertifikatsantrags-Datei (CSR):
   • Sie können diese zusammen mit einem private Key von Harica generieren lassen –> linke Spalte Generate CSR
     ODER
   • Sie können den Inhalt einer vorhanden CSR-Datei Ihres Servers hochladen –> rechte Spalte Submit CSR

Generate CSR		Submit CSR
* Wählen Sie „Auto-generate CSR“ 1 * Wir empfehlen als „Algorithm“ RSA mit einer „Key size“ 4096 (bit) 2 * Geben Sie ein Passwort für das Serverzertifikat ein 3 * Die Administratoren und auch HARICA können das Passwort nicht einsehen oder zurücksetzen, daher gut merken * Bestätigen Sie erneut die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA * Betätigen Sie „Next“		* Erzeugen Sie sich eine CSR Datei für Ihren Server mittels OpenSSL: Empfohlen mit Config Datei (ermöglicht mehrere Domains): request.conf-Template Template mit Ihren Daten anpassen CSR-Datei erzeugen: openssl req -new -key private.key -out request.csr -config request.txt ODER Einfach: mit neuem Private-Key: openssl req -new -newkey rsa:4096 -nodes -keyout private.key -out server.csr ODER mit vorhandenem Private-Key: openssl req -new -key private.key -out server.csr
* Laden Sie den Private-Key herunter, welcher für das Serverzertifikat benötigt wird und legen Sie ihn sicher ab 1 * DIES IST DER EINZIGE MOMENT, BEI DEM SIE DIESEN KEY HERUNTERLDAEN KÖNNEN * haben Sie den Private Key heruntergeladen, Bestätigen Sie dies mit dem Haken bei 2 * Beenden SIe den Vorgang mit „Go back to dashboard“		* Wählen Sie „Submit CSR manually“ 1 * Fügen Sie in das Textfeld 2 den kompletten Inhalt der CSR-Datei Ihres Servers ein * 3 Bestätigen Sie erneut die „Terms of Use“, die „Certification Practices“ und die „Data Orivacy Statements“ von HARICA * Betätigen Sie „Submit Request“

10. Der Antrag sollte nun bei den Administratoren eingegangen sein. Nach Bearbeitung Ihres Antrags erhalten Sie eine E-Mail von Harica.

1. Wenn Ihr Zertifikats-Antrag genehmigt wurde erhalten Sie eine E-Mail
2. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
3. In Ihem Dashboard sehen Sie Ihre Serverzertifikate chronologisch sortiert
4. Betätigen Sie den Download-Knopf
5. Wählen Sie das benötigte Zerifikatsformat/Inhalt aus:
   • PEM –> Das Serverzertifikat einzeln (wenn dies einzeln benötigt wird, weil die CA in einem separatem File gespeichert wird)
   • PEM (bundle) –> Das Serverzertifikat mit CA-Zertifikatskette (wenn das Zertifikat und die Zertifikatskette in einer Datei benötigt wird / die Zertifikatskette aktualisiert werden muss)
   • PEM (root-CA) –> Das Serverzertifikat mit rootCA-Zertifikatskette (wenn das Zertifikat und die rootCA benötigt wird / die rootCA aktualisert werden muss)
   • […] weitere
6. Die Zertifikats-Datei(-en) müssen nun auf den uzgehörigen Server abgelegt werden

Offizielle Dokumentation: https://pve.proxmox.com/wiki/Certificate_Management

1. Laden Sie Ihre .p12-Zertifikatsdatei (bspw. mit scp oder SFTP-Browser) auf Ihren Proxmox-Knoten nach /etc/pve/local hoch: scp _LOKALER_PFAD_IHRES_ZERTIFIKATS_.p12 root@_IHR_HOST_:/etc/pve/local/
2. Verbinden Sie sich über SSH mit dem Knoten oder melden Sie sich lokal an.
3. Navigieren Sie nach /etc/pve/local: cd /etc/pve/local
4. Exportieren Sie Ihr Zertifikat ins PEM-Format nach pveproxy-ssl.pem: openssl pkcs12 -out pveproxy-ssl.pem -nokeys -clcerts -in *.p12
5. Exportieren Sie den privaten Schlüssel Ihres Zertifikats ins PEM-Format ohne Passwort nach pveproxy-ssl.key: openssl pkcs12 -out pveproxy-ssl.key -nocerts -nodes -in *.p12
6. Starten Sie den Dienst pveproxy neu: systemctl restart pveproxy
7. Löschen Sie ggf. die hochgeladene .p12-Datei: rm *.p12

1. Exportieren Sie zuerst von Ihrer .p12-Zertifikatsdatei das Zertifikat und den zugehörigen privaten Schlüssel ohne Passwort jeweils im PEM-Format. Dies ist nahezu mit der Einrichtung in der Konsole identisch, mit Ausnahme des letzten Schritts.
2. Navigieren Sie im Proxmox Web GUI bei den Einstellungen Ihres Knotens (1) zu System/Certificates (2) und klicken Sie dort auf Upload Custom Certificate (3).
3. Fügen Sie im Folgedialog als Private Key (1) den zuvor exportierten privaten Schlüssel und als Certifiate Chain (2) Ihr Zertifikat ein. Sie können entweder die Dateiinhalte in das entsprechende Textfeld einfügen (3) oder die Dateien hochladen (4). Im Gegensatz zur Einrichtung über die Konsole müssen Sie in beiden Feldern abschließend noch einige Zusatzzeilen ("Bag Attributes") oberhalb der Zeilen —–BEGIN … entfernen, die zur Ablehnung Ihrer Eingaben führen würden (5). Löschen Sie keinesfalls andere Zeilen! Bestätigen Sie zum Schluss den Dialog mit Upload (6).
4. Nun sollte folgende Bestätigungsmeldung API server will be restarted to use new certificates, please reload web-interface! erscheinen. Befolgen Sie diese und laden Sie den aktuellen Browser-Tab neu:
5. Der Zugriff auf das PVE Web GUI über HTTPS sollte ab jetzt ohne Zertifikatsausnahme möglich sein. Entfernen Sie daher etwaige Ausnahmen!
6. Sie können die Zertifikatseinrichtung abschließend unter System/Certificates (1) in der Übersicht prüfen (2):

Ein großer Anteil an Serversoftware (u.A. Nginx, Apache, …) erwartet TLS-Zertifiakte im PEM- und nicht im PKCS#12-Format. Die über das Webformular im PKCS#12-Format ausgestellten Zertifikate müssen daher vorab konvertiert werden, um für diese Servertypen verwendbar zu sein. Hierfür bietet sich das OpenSSL-Toolkit an.

• Ausgangsbeispieldatei: cert.p12
• Fett markierte Ausgaben benötigt man wahrscheinlich am häufigsten
• Der Ausgabedateiname ist unterstrichen
• Alle Dateinamen sind beispielhafte Empfehlungen