Szerver tanúsítvány (NIIF TCS) igénylése

NIIF TERENA Certificate Service (továbbiakban TCS) tanúsítványokat az NIIF tagintézmények web szervereinek rendszergazdái igényelhetnek abban az esetben, ha intézményük a TCS szolgáltatásra vonatkozó tagintézményi szerződés-kiegészítést kötött az NIIF Intézettel (ezzel kapcsolatban az intézményi NIIF kapcsolattartónál, vagy informatikai vezetőnél célszerű érdeklődni). Az igénylés menetét az alábbiakban egy OpenSSL és Apache-ModSSL példán keresztül mutatjuk be:

1. Az igénylő tanúsítvány kérést és privát kulcsot generál, pl. OpenSSL segítségével. Ehhez használhatjuk az alábbi openssl.cnf állományt (amelyet érdemes lehet testreszabni):

openssl req -new -newkey rsa:2048 -out www.tanszek.egyetem.hu.csr -keyout \
       www.tanszek.egyetem.hu.key -nodes -config openssl.cnf

A tanúsítvány kérés során az alábbi kérdésekre kell választ adni:

Country Name (2 letter code) [HU]:
Organization Name (eg, company) [NIIF Intezet]:
Organizational Unit Name (eg, section) []:Webserver Team
Common Name (FQDN of your webserver) []:www.niif.hu
Second FQDN (optional) []:niif.hu
Third FQDN (optional) []:
Fourth FQDN (optional) []

A HU attribútumot változatlanul hagyjuk, az Organization Name rovatba beírjuk az intézmény nevét, vagy rövidített nevét, az Organizational Unit Name mezőbe pedig a szervezeti egység nevét (például: X tanszek, Y labor, webserver team, munkaugy). Ügyeljünk arra, hogy sehol ne használjunk ékezetes karaktereket!

• Egy tanúsítványban több nevet is tanúsíthatunk, ha több CN mezőt írunk az igénylésbe. Ebben az esetben a tanúsítvány CN-je az első CN lesz, a többi pedig SubjectAltName kiterjesztésként fog megjelenni. Bizonyos programok nem kezelik jól a SubjectAltName kiterjesztést (pl. a wget). Biztonsági szempontok miatt javasoljuk, hogy csak abban az esetben szerepeljen egy tanúsítványban több név, ha azok valóban egyetlen funkciót látnak el (mint a fenti példában).
• Bizonyos programokba nem lehet OpenSSL által generált privát kulcsot és tanúsítványt betölteni. Ebben az esetben a program használati útmutatója alapján kell a tanúsítvány-igénylést elkészíteni és azt PKCS#10 formában benyújtani.
• Bizonyos tanúsítvány-típusokhoz további mezők lehetnek szükségesek (pl. email). Ehhez az openssl.cnf állományt kell módosítanunk, hogy bekérje a hiányzó adatokat. Lásd: http://linux.die.net/man/5/config

A parancs sikeres kiadása után a privát kulcs a www.tanszek.egyetem.hu.key fájlba, a tanúsítvány kérés pedig a www.tanszek.egyetem.hu.csr fájlba kerül.

Példa:

OpenSSL konfigurációs file egy domain névhez:

...
[ req ]
  default_bits = 2048
  prompt = no
  encrypt_key = no
  default_md = sha1
  distinguished_name = dn

[ dn ]
  C = HU
  L = Budapest
  O = Budapesti Muszaki es Gazdasagtudomanyi Egyetem
  OU = Tanszek Teljes Neve
  CN = www.tanszek.bme.hu

...

OpenSSL konfigurációs file több domain névhez:

...
[ req ]
  default_bits = 2048
  prompt = no
  encrypt_key = no
  default_md = sha1
  distinguished_name = dn

[ dn ]
  C = HU
  L = Budapest
  O = Budapesti Muszaki es Gazdasagtudomanyi Egyetem
  OU = Tanszek Teljes Neve
  0.CN = www.tanszek.bme.hu
  1.CN = tanszek.bme.hu
...

openssl req -new -config www.tanszek.bme.hu.cnf -keyout www.tanszek.bme.hu.key -out www.tanszek.bme.hu.csr

2. Védjük le a privát kulcsot, valamint ellenőrizzük a tanúsítvány-kérést az alábbi parancsokkal:

chmod 400 www.tanszek.egyetem.hu.key
openssl req -in www.tanszek.egyetem.hu.csr -noout -verify -text

3. Adjuk fel a tanúsítvány kérést az e célra kialakított oldalon.

Illusztráció:

4. Miután az igénylésről e-mail értesítést kap, az intézményi Proxy személy felkeresi az igénylőt azonosítási céllal. Az intézményi kapcsolattartónak jogában áll azonosítani az igénylőt. Sikeres azonosítás esetén a Proxy az adminisztrációs felületen bejelentkezve aláírja a tanúsítványt.

5. Az aláírt tanúsítványt az igénylő az általa megadott e-mail címre kapja meg.

6. Apache web szerver esetén ügyelni kell arra, hogy a tanúsítvány láncolatok is be legyenek állítva. A tanúsítvány láncolatok letöltéséhez szükséges linket az aláírt tanúsítványt is tartalmazó emailben kapja meg az igénylő.

Állítsuk be az Apache megfelelő attribútumait:

SSLCertificateFile /etc/ssl/www.tanszek.egyetem.hu.pem
SSLCertificateKeyFile /etc/ssl/www.tanszek.egyetem.hu.key
SSLCertificateChainFile /etc/ssl/chain-www.tanszek.egyetem.hu.pem

Esetleges kérdés, probléma esetén forduljon hozzánk az <scs@niif.hu> email címen!