Szerver tanúsítvány (NIIF TCS) igénylése
NIIF TCS tanúsítványokat az NIIF tagintézmények web szervereinek rendszergazdái igényelhetnek abban az esetben, ha intézményük a TCS szolgáltatásra vonatkozó tagintézményi szerződés-kiegészítést kötött az NIIF Intézettel (ezzel kapcsolatban az intézményi NIIF kapcsolattartónál, vagy informatikai vezetőnél célszerű érdeklődni). Az igénylés menetét az alábbiakban egy OpenSSL és Apache-ModSSL példán keresztül mutatjuk be:
1. Az igénylő tanúsítvány kérést és privát kulcsot generál, pl. OpenSSL segítségével. Ehhez használhatjuk az alábbi openssl.cnf állományt (amelyet érdemes lehet testreszabni):
openssl req -new -newkey rsa:2048 -out www.tanszek.egyetem.hu.csr -keyout \
www.tanszek.egyetem.hu.key -nodes -config openssl.cnfA tanúsítvány kérés során az alábbi kérdésekre kell választ adni:
Country Name (2 letter code) [HU]:
Organization Name (eg, company) [NIIF Intezet]:
Organizational Unit Name (eg, section) []:Webserver Team
Common Name (FQDN of your webserver) []:www.niif.hu
Second FQDN (optional) []:niif.hu
Third FQDN (optional) []:
Fourth FQDN (optional) []A HU attribútumot változatlanul hagyjuk, az Organization Name rovatba beírjuk az intézmény nevét, vagy rövidített nevét, az Organizational Unit Name mezőbe pedig a szervezeti egység nevét (például: X tanszek, Y labor, webserver team, munkaugy). Ügyeljünk arra, hogy sehol ne használjunk ékezetes karaktereket!
- Egy tanúsítványban több nevet is tanúsíthatunk, ha több CN mezőt írunk az igénylésbe. Ebben az esetben a tanúsítvány CN-je az első CN lesz, a többi pedig SubjectAltName kiterjesztésként fog megjelenni. Bizonyos programok nem kezelik jól a SubjectAltName kiterjesztést (pl. a wget). Biztonsági szempontok miatt javasoljuk, hogy csak abban az esetben szerepeljen egy tanúsítványban több név, ha azok valóban egyetlen funkciót látnak el (mint a fenti példában).
- Bizonyos programokba nem lehet OpenSSL által generált privát kulcsot és tanúsítványt betölteni. Ebben az esetben a program használati útmutatója alapján kell a tanúsítvány-igénylést elkészíteni és azt PKCS#10 formában benyújtani.
- Bizonyos tanúsítvány-típusokhoz további mezők lehetnek szükségesek (pl. email). Ehhez az openssl.cnf állományt kell módosítanunk, hogy bekérje a hiányzó adatokat. Lásd: http://linux.die.net/man/5/config
A parancs sikeres kiadása után a privát kulcs a www.tanszek.egyetem.hu.key fájlba, a tanúsítvány kérés pedig a www.tanszek.egyetem.hu.csr fájlba kerül.
Példa:
OpenSSL konfigurációs file egy domain névhez:
...
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = HU
L = Budapest
O = Budapesti Muszaki es Gazdasagtudomanyi Egyetem
OU = Tanszek Teljes Neve
CN = www.tanszek.bme.hu
...
OpenSSL konfigurációs file több domain névhez:
...
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = HU
L = Budapest
O = Budapesti Muszaki es Gazdasagtudomanyi Egyetem
OU = Tanszek Teljes Neve
0.CN = www.tanszek.bme.hu
1.CN = tanszek.bme.hu
...openssl req -new -config www.tanszek.bme.hu.cnf -keyout www.tanszek.bme.hu.key -out www.tanszek.bme.hu.csr
2. Védjük le a privát kulcsot, valamint ellenőrizzük a tanúsítvány-kérést az alábbi parancsokkal:
chmod 400 www.tanszek.egyetem.hu.key
openssl req -in www.tanszek.egyetem.hu.csr -noout -verify -text3. Adjuk fel a tanúsítvány kérést az e célra kialakított webformon.
Illusztráció:
Válasszuk ki, hogy hány évre igényeljük a tanúsítványt, a tanúsítvány típusának (Type of Certificate) adjuk meg a SureServerEDU TLS értéket, ha később Apache web szerverrel kívánjuk a tanúsítványt felhasználni, akkor a Webserver type mezőben válasszuk ki az Apache-ModSSL értéket. A tanúsítvány kérést a 2. Certificate Request File (CSR) mezőbe másoljuk, ügyelve arra, hogy a file teljes tartalma ide kerüljön. Ha a tanúsítvány kérést helyben generáltuk, akkor egy tallózó ablakban is kiválaszthatjuk a .csr állományt. Lépjünk tovább (Go to step 2)!
4. Ellenőrizzük a tanúsítvány-kérésünket, ha hiba van, korrigálhatunk. Pl.:
Ha minden rendben, lépjünk tovább (Go to step 2)!
5. Töltsük ki az igénylő és az intézményi kapcsolattartó adatait. Pl.:
A Technical Contact mezőbe a tanúsítvány igénylő adatait kell beírni, nevét, címet értelemszerűen. Az Organization Information szekcióba kell írni az intézményi kapcsolattartó adatait. Az intézményi kapcsolattartók listája megtalálható itt!
FIGYELEM! Az intézményi kapcsolattartó pontos megadása igen fontos, mivel az ő jóváhagyása szükséges a tanúsítvány aláírásához. Pontatlan adatok esetén a Proxy nem szerez tudomást az igénylésről, így nem tudja azt jóváhagyni sem! Az intézményi kapcsolattartónak jogában áll azonosítani az igénylőt.
A Password and Password Hint mezőkben a visszavonási jelszót, illetve egy arra vonatkozó emlékeztetőt kell megadni.
FIGYELEM! A visszavonási jelszónak erős jelszót (szám, betű, speciális jelek) adjunk! Ha valaki megfejti a jelszavunkat, akkor az vissza tudja vonni a tanúsítványunkat.
Lépjünk tovább (Go to step 3)!
6. Adjuk fel a tanúsítvány igénylést az I confirm the information below and wish to proceed with this certificate request! gombra kattintva! Pl.:
7. A tanúsítvány sikeres feladását az alábbi információ jelzi:
8. Miután az igénylésről e-mail értesítést kap, az intézményi Proxy személy felkeresi az igénylőt azonosítási céllal. Sikeres azonosítás esetén a Proxy a kapott e-mailt kinyomtatva, aláírva, azt az NIIF Intézetnek faxon eljuttatva kezdeményezi a tanúsítvány aláírását.
9. Az aláírt tanúsítványt az igénylő az általa megadott e-mail címre kapja meg.
10. Apache web szerver esetén ügyelni kell arra, hogy a tanúsítvány láncolatok is be legyenek állítva.
Előbb töltsük le a köztes tanúsítványokat:
cd /etc/ssl/
wget http://secure.globalsign.net/cacert/sureserverEDU.pem
Majd állítsuk be az Apache megfelelő attribútumait:
SSLCertificateFile /etc/ssl/www.tanszek.egyetem.hu.pem
SSLCertificateKeyFile /etc/ssl/www.tanszek.egyetem.hu.key
SSLCertificateChainFile /etc/ssl/sureserverEDU.pem
Esetleges kérdés, probléma esetén forduljon hozzánk a <ca@niif.hu> email címen!
Thu, 11/12/2009 - 10:18