I den følgende beskrivelsen bruker vi OpenSSL for å lage en CSR
(binærfiler for
Windows finnes også). Det enkleste er å lage en kort
konfigurasjonsfil som blir brukt av kommandoen openssl req.
Du kan benytte alternative metoder hvis du har mye erfaring med
OpenSSL. Det er viktig at konfigurasjonsfilen blir lagret i UTF-8-format, ellers kan det oppstå problemer med bruk av særnorske tegn.
Vi har registrert en del problemer med CSR-er fra Cisco ACS (Access Control Server), og vi anbefaler derfor sterkt å ikke bruke Cisco ACS til å generere CSR.
I eksemplet kaller vi konfigurasjonsfilen myserver.cnf; vi anbefaler
å bytte ut myserver med FQDN for serveren. myserver.cnf
ser ut som følger:
[ req ] default_bits = 2048 prompt = no encrypt_key = no default_md = sha1 distinguished_name = dn utf8 = yes
[ dn ] C = NO O = Offisielt_navn_for_din_organisasjon CN = Fully_Qualified_Domain_Name_for_din_server # # for "O =" må du velge den skrivemåten som er listet på medlemssiden #
Utfylt versjon av dette lagres som en tekstfil. Vær nøye med O =-linjen; for at sertifikatet skal bli utstedt må den være eksakt lik det som er listet på medlemssiden. CN må være FQDN for serveren. IP-adressen kan ikke benyttes som CN.
C, O og CN er obligatoriske atributter for alle sertifikater. I tillegg kan OU (organisasjonsenhet) benyttes.
Se eksempler på UNINETT SCS-sertifikater for mer info om obligatoriske og valgfrie sertifikate atributter. Hvis du trenger flere DNS-navn i sertifikatet, se Hvordan bestille sertifikater med flere DNS-navn.
Bruk openssl for å generer privatnøkkel og CSR:
$ umask 0377 $ openssl req -new -config myserver.cnf -keyout myserver.key -out myserver.csr
Dette vil lage et 2048-bit RSA-nøkkelpar; privatnøkkelen lagres som
myserver.key og CSR i filen myserver.csr. Den
private nøkkelen er lagret uten passfrase, derfor brukes umask-kommandoen på
unix-systemer for å sikre privatnøkkelen. På andre OS må man gjøre tilsvarende
grep for å sikre privatnøkkelen.
Man kan sjekke at request er som man ønsker før bestilling:
$ openssl req -noout -text -in myserver.csr
Send inn CSR-en via SCS-tjeneren, husk å velge rett institusjon.
I steg 1 limer du inn CSR-en i tekstboksenvelger, setter en varighet
på 1, 2 eller 3 år, og velger Normal certificate (Unicode) som
sertifikatvariant. Dersom du har behov for ASCII-variant, så kan dette også
velges, men da må heller ikke være konfigurert ikke-ASCII tegn i requesten.
Angi til sist e-postadresse for kontaktpunkt, det er denne adressen
sertifikatet vil bli sendt til.
I steg 2 er SCR-en dekodet og innholdet er fylt ut i web-formen. Her
har man anledning til å endre på requesten, evt. legge til flere hostnavn det
skal gjelde for (Subject Alternative Names) og
Organizational Unit
Vær nøye med å angi den e-postadressen der du ønsker å få sertifikatet tilsendt. Alle felt som ikke er eksplisitt merket optional må fylles ut.
Nederst finnes en boks der du erklærer at informasjonen gitt er riktig, denne må krysses av for at bestillingen skal gå gjennom. Evt kan du også krysse av for at du vil fortsette å bestille flere sertifikater med de nåværende instillinger.
Etter at du har sendt inn CSR-en, må din Administrative kontakt
bekrefte bestillingen. Han/hun vil motta en forespørsel på e-post fra "UNINETT
Server Certificate Service" (scs-ra@uninett.no) som må skrives ut og
signeres. Evt. kan man skrive ut den endelige bestillingssiden og få denne
signert.
Ferdig signert søknad sendes til UNINETTs RA, som skal godkjenne bestillingen. Dette kan gjøres ved å sende en e-post med scan av den ferdigsignerte søknaden eller ved å fakse den. Dersom forespørselen blir sendt per faks, ber vi om at dere lager en forside hvor det fremgår at faksen skal til UNINETT SCS.
Etter at UNINETTs RA har godkjent bestillingen vil beatiller motta en e-post med peker til webside der sertifikatet kan lastes ned. Godkjenningen vil vanligvis ta 1-3 virkedager.
For å installere sertifikatet må du følge dokumentasjonen for din webserver. Det er viktig at du også installerer mellomsertifikatene som også lastes ned fra samme side som der sertifikatet lastes ned fra.
| scs-ra@uninett.no | 2011-03-16 |