Wiki Rechenzentrum Hochschule Schmalkalden

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » zertifikate » pki » server-zertifikate
Zuletzt angesehen:
zertifikate:pki:server-zertifikate

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
zertifikate:pki:server-zertifikate [2024/08/09 15:04] – [Proxmox] Conny Marcus Raschzertifikate:pki:server-zertifikate [2024/09/25 21:42] (aktuell) – [Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN]] Conny Marcus Rasch
Zeile 6: Zeile 6:
  
 <note important>Es existiert **kein** plausibler Grund, einen produktiven Dienst an der Hochschule Schmalkalden zu betreiben, der für seine Transportverschlüsselung das Hinzufügen von Zertifikatsausnahmen benötigt! Dies stellt vor allem ein Sicherheitsrisiko für die Nutzer dar! Die Hochschule Schmalkalden besitzt die nötige Infrastruktur, um solche Risiken **vollständig** zu vermeiden! Sofern Sie noch derartige Dienste betreiben, statten Sie diese bitte umgehend mit ordentlichen Zertifikaten aus oder kontaktieren Sie das Rechenzentrum unter [[pki@hs-schmalkalden.de]], falls Ihnen die dazu nötigen Fachkenntnisse fehlen!</note> <note important>Es existiert **kein** plausibler Grund, einen produktiven Dienst an der Hochschule Schmalkalden zu betreiben, der für seine Transportverschlüsselung das Hinzufügen von Zertifikatsausnahmen benötigt! Dies stellt vor allem ein Sicherheitsrisiko für die Nutzer dar! Die Hochschule Schmalkalden besitzt die nötige Infrastruktur, um solche Risiken **vollständig** zu vermeiden! Sofern Sie noch derartige Dienste betreiben, statten Sie diese bitte umgehend mit ordentlichen Zertifikaten aus oder kontaktieren Sie das Rechenzentrum unter [[pki@hs-schmalkalden.de]], falls Ihnen die dazu nötigen Fachkenntnisse fehlen!</note>
 +
 +<note tip>[[https://ssl-config.mozilla.org|ssl-config.mozilla.org]] kann Ihnen eine zeitgemäße TLS-Serverkonfiguration generieren. Mit [[https://www.ssllabs.com/ssltest|www.ssllabs.com/ssltest]] können Sie eine vorhandene Konfiguration analysieren und auf Schwachstellen testen lassen.</note>
  
 ===== Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN] ===== ===== Automatische Ausstellung und Einrichtung über ACME [EMPFOHLEN] =====
Zeile 12: Zeile 14:
  
 Um ACME an der HSM verwenden zu können, benötigen Sie: Um ACME an der HSM verwenden zu können, benötigen Sie:
-  - Ihre Key-ID (KID) / Account-ID +  - Ihre Key-ID (KID) / Account-ID (22 Zeichen) 
-  - Ihren HMAC-Key+  - Ihren HMAC-Key (86 Zeichen)
   - Die URL des ACME-Endpunktes vom Anbieter Sectigo: https://acme.sectigo.com/v2/GEANTOV   - Die URL des ACME-Endpunktes vom Anbieter Sectigo: https://acme.sectigo.com/v2/GEANTOV
   - Es werden **keine** extern erreichbaren Ports benötigt!   - Es werden **keine** extern erreichbaren Ports benötigt!
Zeile 85: Zeile 87:
 == Subdomain-, Wildcard- & Multidomain-Zertifikate == == Subdomain-, Wildcard- & Multidomain-Zertifikate ==
  
-Grundsätzlich können ACME-Accounts für ihre zugewiesenen Domains auch Zertifikate für Subdomains inkl. Wildcard ausstellen lassen. Ein ACME-Account, dem bspw. ''dezernat42.hs-schmalkalden.de'' zugewiesen wurde, kann auch Zertifikate für ''%%ftp.dezernat42.hs-schmalkalden.de%%'' oder ''*.dezernat42.hs-schmalkalden.de'' anfordern.+Grundsätzlich können ACME-Accounts für ihre zugewiesenen Domains auch Zertifikate für Subdomains beliebiger Tiefe inkl. Wildcard ausstellen lassen. Ein ACME-Account, dem bspw. ''dezernat42.hs-schmalkalden.de'' zugewiesen wurde, kann auch Zertifikate für ''%%ftp.dezernat42.hs-schmalkalden.de%%'', ''%%foo.bar.dezernat42.hs-schmalkalden.de%%'' oder ''*.dezernat42.hs-schmalkalden.de'' anfordern.
  
 Um Multidomain-Zertifikate ausstellen zu lassen, genügt es, den Domain-Parameter ''-d'' mehrfach beim Aufruf zu verwenden. Zu beachten ist, dass das erzeugte Zertifikat lokal auf dem Endsystem unter der ersten Domain gespeichert wird und bei der Installation auch nur diese Domain angegeben werden muss. Um Multidomain-Zertifikate ausstellen zu lassen, genügt es, den Domain-Parameter ''-d'' mehrfach beim Aufruf zu verwenden. Zu beachten ist, dass das erzeugte Zertifikat lokal auf dem Endsystem unter der ersten Domain gespeichert wird und bei der Installation auch nur diese Domain angegeben werden muss.
Zeile 230: Zeile 232:
  
 <note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[#automatische_ausstellung_und_einrichtung_ueber_acme_empfohlen|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note> <note important>Falls Sie planen, den von Ihnen betreuten Dienst permanent mit einem Zertifikat auszustatten, sollten Sie die [[#automatische_ausstellung_und_einrichtung_ueber_acme_empfohlen|automatische Ausstellung und Einrichtung über ACME]] in Erwägung ziehen, um Ihren administrativen Aufwand zu reduzieren und das Risiko von abgelaufenen Zertifikaten zu vermeiden.</note>
 +
 +<note warning>Wenn Sie über dieses Webformular ein Zertifikat für eine Domain ausstellen lassen möchten, welche keine Subdomain Ihres Bereichs ist, muss Ihr Enrollment-Account vorab dafür freigeschaltet werden. Kontaktieren Sie hierfür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls bricht der Prozess beim Absenden des Formulars mit der Fehlermeldung ''This domain '<hostname>.hs-schmalkalden.de' is not available for enrollment. Please contact administrator.'' ab. Als Beispiel ist der Enrollment-Account ''Rechenzentrum'' berechtigt, Zertifikate für den FQDN ''webserver.rz.hs-schmalkalden.de'' aber **nicht** für ''webserver.hs-schmalkalden.de'' auszustellen.</note>
  
   - Falls Sie berechtigt sind, für andere Verwaltungsbereiche Serverzertifikate zu beantragen, müssen Sie als ersten Schritt im Webformular den Account des gewünschten Bereichs (<fc #ff0000>**1**</fc>) auswählen und mit ''Next'' bestätigen (<fc #ff0000>**2**</fc>). Sollten Sie nur zur Nutzung eines einzelnen Accounts berechtigt sein, wird dieser automatisch ausgewählt und diese Rückfrage übersprungen. Kontaktieren Sie bitte das Rechenzentrum über [[pki@hs-schmalkalden.de]], falls Ihnen ein benötigter Account nicht zur Auswahl steht. {{ zertifikate:server-1.png?direct&400 |}}   - Falls Sie berechtigt sind, für andere Verwaltungsbereiche Serverzertifikate zu beantragen, müssen Sie als ersten Schritt im Webformular den Account des gewünschten Bereichs (<fc #ff0000>**1**</fc>) auswählen und mit ''Next'' bestätigen (<fc #ff0000>**2**</fc>). Sollten Sie nur zur Nutzung eines einzelnen Accounts berechtigt sein, wird dieser automatisch ausgewählt und diese Rückfrage übersprungen. Kontaktieren Sie bitte das Rechenzentrum über [[pki@hs-schmalkalden.de]], falls Ihnen ein benötigter Account nicht zur Auswahl steht. {{ zertifikate:server-1.png?direct&400 |}}
zertifikate/pki/server-zertifikate.1723208687.txt.gz · Zuletzt geändert: 2024/08/09 15:04 von Conny Marcus Rasch
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki