Abteilung IKT

Server-Zertifikate

Über das Aconet können für Server günstige - d.h. ohne Kosten für den Antragsteller - aber vollwertige SSL-Zertifikate beantragt werden, um damit zum Beispiel die Kommunikation mit einem Webserver abzusichern.

Vorraussetzungen:

  • Rechner steht im Datennetz der MUI und verfügt über einen Hostnamen xy.i-med.ac.at
  • Keine kommerzielle Nutzung

Im Antragsformular werden folgende Daten abgefragt:

  • E-Mail Gruppenadresse für Benachrichtigungen: Adresse an die Meldungen bzgl Ablauf des Zertifikats geschickt wird. Damit auch im Urlaubsfall die Benachrichtigung funktioniert emphiehlt sich hier die Verwendung einer Adresse, die von mehreren Benutzern gelesen wird.
  • Instituts-Anschrift und Kontaktdaten.
  • Der Name Ihrer Abteilung (ou): Wer ist für den zu abzusichernden Dienst zuständig. Es sind sprechende Namen vorgeschrieben, am besten die offizielle Bezeichnung Ihrer Organisation.

Im zweiten Schritt müssen der Certificate-Signing-Request (csr), Gültigkeitsdauer (1-3 Jahre) und eventuelle weitere Hostnamen angegeben werden. Wildcards sind nicht erlaubt. Das csr wird unter Linux z.B. wie folgt erstellt:

  • Erstellen des geheimen Keys, der NICHT weitergegeben werden darf. Es emphiehlt sich statt hostname den richtigen Hostnamen des zu schützenden Dienstes zu verwenden:
openssl genrsa -out hostname.key 2048
  • Erzeugen des CSR, welcher an die CA geschickt wird.
openssl req -new -key hostname.key -out hostname.csr

 

Die Beantragung erfolgt über https://www.aco.net/tcs_request.html?&no_cache=1.

Ihre Daten werden vor Ausstellung des Zertifikates noch geprüft. Im positiven Fall erhalten sie nach der Erstellung eine Information per Email samt Link auf Ihr Zertifikat. Die Prüfung erfolgt manuell, im Normalfall innerhalb weniger Tage.

Key und Zertifikat und die im Infomail verlinkten Intermediate-Zertifikate werden bei der Konfiguration des jeweiligen Dienstes benötigt. Der CSR kann gelöscht werden.

Für den IIS muss das Zertifikat noch nach pkcs12 konvertiert werden:

openssl pkcs12 -export -in hostname.cert -inkey hostname.key -cert intermediate.cert -out hostname.pkcs12

© 2004 - 2012 Medizinische Universität Innsbruck - Alle Rechte vorbehaltenMail an i-master - Letzte Änderung: 27.11.2011, 17:48:46 von Thomas Klucknerxims