Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:services:it_security:pki:start [2020/03/16 10:35] – [Neuer Weg] thinderde:services:it_security:pki:start [2024/03/15 13:23] (aktuell) – [...aus der GÉANT TCS PKI] thinder
Zeile 1: Zeile 1:
 +====== PKI ======
 +
 +===== Public Key Infrastructure =====
 +
 +Im folgenden finden Sie Anweisungen zum Anfordern von Zertifikaten mit gängigen Web-Browsern sowie Anweisungen für die Verwendung dieser Zertifikate. Die Anweisungen für die Zertifizierung beziehen sich auf e-mail (S / MIME) Zertifikate. Das Erfordernis der anderen Arten von Zertifikaten ist jedoch weitgehend ähnlich konzipiert. Wenn Sie Vorschläge für weitere Anweisungen oder weitere Fragen haben, schicken Sie eine E-mail an [[support@gwdg.de?subject=Frage(n) zu Zertifikat(en)&body=Sehr geehrte Damen und Herren,%0A%0Aich habe folgende Frage(n) zu Zertifikat(en):%0A%0A|support@gwdg.de]] oder nutzen Sie das [[https://www.gwdg.de/support|Support-Formular]] der GWDG.
 +
 +===== Beantragung persönliches E-Mail-Zertifikat... =====
 +Neue Zertifikate erhalten Sie in Zukunft über den Dienst GÉANT TCS. Bitte wenden Sie sich für Informationen zu konkreten Beantragungsverfahren an Ihren lokalen Teilnehmerservice Ihrer Einrichtung.
 +Für Nutzerzertifikate für die Signierung und/oder optionale Verschlüsselung von E-Mails ist der Beantragungs-Weg der [[#geant_tcs_pki|GÉANT TCS PKI]] in den allermeisten Fällen der richtige Weg. In Zusammenarbeit mit Ihrem lokalen Teilnehmerservice-Mitarbeitenden Ihrer Einrichtung bzw. RA erstellen Sie sich ein Nutzerzertifikat.
 +Nähere Informationen finden Sie auch in den unter "[[#detaillierte_beschreibung_der_e-mail-verschluesselung_mit_x509-zertifikaten|Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten]]" Ihnen zur Verfügung stehenden GWDG Nachrichtenartikeln.
 +
 +
 +==== ...aus der GÉANT TCS PKI ====
 +Zur Beantragung eines E-Mail-Zertifikats aus der GÉANT TCS PKI, die im Mandanten des DFN der GÉANT TCS PKI verankert ist, klicken Sie bitte auf die nachfolgende PDF-Anleitung.
 +<WRAP center round download 80%>
 +Auf Grund von häufigen Änderungen im Beantragungs- und Ausstellungsprozess des GÉANT TCS PKI Betreibers Sectigo sind diese zur leichtere Änderung und Anpassung als PDF-Datei erstellt worden.
 +  * {{:de:services:it_security:pki:beantragung_eines_e-mail-zertifikats_aus_der_gwdg-ca_die_im_geant_tcs_mandanten_des_dfn_verankert_ist.pdf |Beantragung eines E-Mail-Zertifikats aus der GWDG-CA, die im GÉANT TCS Mandanten des DFN verankert ist}}.
 +</WRAP>
 +Bei Fragen senden Sie eine E-mail an [[support@gwdg.de?subject=Frage zu meinem persönlichen E-Mail Zertifikat&body=Sehr geehrte Damen und Herren,%0A%0Aich habe folgende Frage(n) zu Zertifikat(en):%0A%0A|support@gwdg.de]] oder nutzen Sie das [[https://www.gwdg.de/support|Support-Formular]] der GWDG.
 +
 +===== Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten =====
 +
 +Für weiterführende Schritte und eine detaillierte Anweisungen zur Installation und Nutzung des Zertifikats (die Datei mit der Dateiendung .p12 im Download-Verzeichnis des genutzten Webbrowsers) in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgenden Dokumenten.
 +<WRAP center round info 100%>
 +==== GÉANT TCS PKI ====
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_11-2022_www.pdf#page=8|GWDG Nachrichten 11|22]] - Teil 7: Beantragung, Erstellung und Import eines Nutzerzertifikats in der GÉANT TCS PKI
 +
 +==== Allgemeingültig für X.509-Zertifikate ====
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_1-2-2020_www.pdf#page=14|GWDG Nachrichten 1-2|20]] - Teil 2: Installation und Verteilung von Zertifikaten
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_3-2020_www.pdf#page=6|GWDG Nachrichten 3|20]] - Teil 3: Outlook-E-Mail-Anwendungen
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_7-8-2020_www.pdf#page=8|GWDG Nachrichten 7-8|20]] - Teil 4: Apple E-Mail-Anwendungen
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_11-2020_www.pdf#page=12|GWDG Nachrichten 11|20]] - Teil 5: Thunderbird, Notes und Mutt
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_5-2021_www.pdf#page=8|GWDG Nachrichten 5|21]] - Teil 6: Private Zertifikate mit der Volksverschlüsselung
 +</WRAP>
 +
 +
 +===== Beantragung Server-Zertifikate... =====
 +
 +==== ...aus der GÉANT TCS PKI ====
 +Zur Beantragung von ACME External Account Binding Informationen für Server-Zertifikaten aus der GÉANT TCS PKI, die im Mandanten des DFN der GÉANT TCS PKI verankert ist, senden Sie eine E-mail an [[support@gwdg.de?subject=Beantragung von ACME External Account Binding Informationen für folgende(n) Server:&body=Sehr geehrte Damen und Herren,%0A%0Aich möchte für folgende(n) Server ACME External Account Binding Informationen beantragen:%0A%0A|support@gwdg.de]] oder nutzen Sie das [[https://www.gwdg.de/support|Support-Formular]] der GWDG.
 +
 +<WRAP center round download 80%>
 +Nachdem Sie die ACME External Account Binding Informationen erhalten haben, können Sie die Zertifikate für Ihre Server automatisiert erstellen. Eine Anleitung dazu finden Sie in dem folgenden GWDG-Nachrichten Artikel:
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_3-2022_www.pdf#page=10|GWDG Nachrichten 03|22]] - Teil 4: Automatisierte Erstellung von Serverzertifikaten mit Bot-Software
 +</WRAP>
 +
 +==== Unix/OS X ====
 +<WRAP center round info 80%>
 +OpenSSL mit folgenden Parametern aufrufen
 +
 +</WRAP>
 +
 +Einfaches Bash-Skript...
 +<code bash createcsr.sh>openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem</code>
 +  * Script createscr.sh herunterladen.
 +  * Rechte ändern <code bash>chmod 744 createcsr.sh</code>
 +  * Script wie folgt starten <code bash>./createcsr.sh</code>
 +==== Windows ====
 +Einfaches PowerShell-Skript...
 +<code powershell createcsr.ps1>openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem</code>
 +Einfaches Batch-Skript...
 +<code powershell createcsr.bat>openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem</code>
 +
 +Danach verfahren Sie weiter mit der [[#auswahl_registrierungs-autoritaet_ra|Auswahl Registrierungs-Autorität (RA)]] und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf "hochladen für Server" erreichen.
 +===== Beantragung Server-Zertifikat mittels OpenSSL.cnf =====
 +
 +<WRAP center round info 80%>
 +OpenSSL mit folgenden Parametern aufrufen
 +
 +</WRAP>
 +
 +==== Unix/OS X ====
 +Einfaches Bash-Skript...
 +<code bash createcsr.sh>openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem</code>
 +  * Script createscr.sh herunterladen.
 +  * Rechte ändern <code bash>chmod 744 createcsr.sh</code>
 +  * Script wie folgt starten <code bash>./createcsr.sh</code>
 +==== Windows ====
 +Einfaches PowerShell-Skript...
 +<code powershell createcsr.ps1>openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem</code>
 +Einfaches Batch-Skript...
 +<code powershell createcsr.bat>openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem</code>
 +
 +Danach verfahren Sie weiter mit der [[#auswahl_registrierungs-autoritaet_ra|Auswahl Registrierungs-Autorität (RA)]] und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf "hochladen für Server" erreichen.
 +===== Beispieldateien für OpenSSL.cnf =====
 +
 +
 +==== MPG ====
 +Das Wort **example** ist durch einen gültigen Servernamen und die E-Mail-Adresse **noreply@{mpg|uni-goettingen|gwdg}.de** durch eine gültige zu ersetzen.
 +<code bash example.cnf>
 +HOME            = .
 +RANDFILE        = $ENV::HOME/.rnd
 +
 +####################################################################
 +[ req ]
 +default_bits        = 4096
 +default_keyfile     = example.key
 +distinguished_name  = server_distinguished_name
 +req_extensions      = server_req_extensions
 +string_mask         = utf8only
 +
 +####################################################################
 +[ server_distinguished_name ]
 +countryName         = Country Name (2 letter code)
 +countryName_default     = DE
 +
 +stateOrProvinceName     = State or Province Name (full name)
 +stateOrProvinceName_default = Niedersachsen
 +
 +localityName            = Locality Name (eg, city)
 +localityName_default        = Goettingen
 +
 +organizationName            = Organization Name (eg, company)
 +organizationName_default    = Max-Planck-Gesellschaft
 +
 +# Den Namen Ihrer der CA untergeordneten RA können Sie hier entnehmen 
 +# https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras
 +# und ersetzen damit den Wert PKI
 +organizationalUnitName = Organizational Unit Name (eg, your Max-Planck-Institute)
 +organizationalUnitName_default = PKI
 +
 +
 +commonName          = Common Name (e.g. server FQDN or YOUR name)
 +commonName_default      = example.mpg.de
 +
 +emailAddress            = Email Address
 +emailAddress_default        = noreply@mpg.de
 +
 +####################################################################
 +[ server_req_extensions ]
 +
 +subjectKeyIdentifier        = hash
 +basicConstraints        = CA:FALSE
 +keyUsage            = digitalSignature, keyEncipherment
 +subjectAltName          = @alternate_names
 +nsComment           = "OpenSSL Generated Certificate"
 +
 +####################################################################
 +[ alternate_names ]
 +
 +DNS.1       = example-san-1.mpg.de
 +DNS.2       = example-san-2.mpg.de
 +</code>
 +==== Uni Göttingen ====
 +Das Wort **example** ist durch einen gültigen Servernamen und die E-Mail-Adresse **noreply@{mpg|uni-goettingen|gwdg}.de** durch eine gültige zu ersetzen.
 +<code bash example.cnf>
 +HOME            = .
 +RANDFILE        = $ENV::HOME/.rnd
 +
 +####################################################################
 +[ req ]
 +default_bits        = 4096
 +default_keyfile     = example.key
 +distinguished_name  = server_distinguished_name
 +req_extensions      = server_req_extensions
 +string_mask         = utf8only
 +
 +####################################################################
 +[ server_distinguished_name ]
 +countryName         = Country Name (2 letter code)
 +countryName_default     = DE
 +
 +stateOrProvinceName     = State or Province Name (full name)
 +stateOrProvinceName_default = Niedersachsen
 +
 +localityName            = Locality Name (eg, city)
 +localityName_default        = Goettingen
 +
 +organizationName            = Organization Name (eg, company)
 +organizationName_default    = Georg-August-Universitaet Goettingen
 +
 +# Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA 
 +# können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:uniras und ersetzen damit den Wert PKI.
 +#organizationalUnitName = Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA)
 +#organizationalUnitName_default = PKI
 +
 +
 +commonName          = Common Name (e.g. server FQDN or YOUR name)
 +commonName_default      = example.uni-goettingen.de
 +
 +emailAddress            = Email Address
 +emailAddress_default        = noreply@uni-goettingen.de
 +
 +####################################################################
 +[ server_req_extensions ]
 +
 +subjectKeyIdentifier        = hash
 +basicConstraints        = CA:FALSE
 +keyUsage            = digitalSignature, keyEncipherment
 +subjectAltName          = @alternate_names
 +nsComment           = "OpenSSL Generated Certificate"
 +
 +####################################################################
 +[ alternate_names ]
 +
 +DNS.1       = example-san-1.uni-goettingen.de
 +DNS.2       = example-san-2.uni-goettingen.de
 +</code>
 +==== GWDG ====
 +Das Wort **example** ist durch einen gültigen Servernamen und die E-Mail-Adresse **noreply@{mpg|uni-goettingen|gwdg}.de** durch eine gültige zu ersetzen.
 +<code bash example.cnf>
 +HOME            = .
 +RANDFILE        = $ENV::HOME/.rnd
 +
 +####################################################################
 +[ req ]
 +default_bits        = 4096
 +default_keyfile     = example.key
 +distinguished_name  = server_distinguished_name
 +req_extensions      = server_req_extensions
 +string_mask         = utf8only
 +
 +####################################################################
 +[ server_distinguished_name ]
 +countryName         = Country Name (2 letter code)
 +countryName_default     = DE
 +
 +stateOrProvinceName     = State or Province Name (full name)
 +stateOrProvinceName_default = NIEDERSACHSEN
 +
 +localityName            = Locality Name (eg, city)
 +localityName_default        = GOETTINGEN
 +
 +organizationName            = Organization Name (eg, company)
 +organizationName_default    = Gesellschaft fuer wissenschaftliche Datenverarbeitung
 +
 +# Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA 
 +# können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras und ersetzen damit den Wert PKI.
 +#organizationalUnitName = Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA)
 +#organizationalUnitName_default = PKI
 +
 +commonName          = Common Name (e.g. server FQDN or YOUR name)
 +commonName_default      = example.gwdg.de
 +
 +emailAddress            = Email Address
 +emailAddress_default        = noreply@gwdg.de
 +
 +####################################################################
 +[ server_req_extensions ]
 +
 +subjectKeyIdentifier        = hash
 +basicConstraints        = CA:FALSE
 +keyUsage            = digitalSignature, keyEncipherment
 +subjectAltName          = @alternate_names
 +nsComment           = "OpenSSL Generated Certificate"
 +
 +####################################################################
 +[ alternate_names ]
 +
 +DNS.1       = example-san-1.gwdg.de
 +DNS.2       = example-san-2.gwdg.de
 +</code>
 +
 +===== Wichtige OpenSSL-Befehle =====
 +Eine Sammlung wichtiger OpenSSL-Befehle für Server-Zertifikate
 +
 +==== Entfernung des Kennworts vom privaten Schlüssel ====
 +<code bash>openssl rsa -in example.key -out example.np.key</code>
 +==== Erstellen einer PKCS#12-Datei aus privaten und öffentlichen Schlüssel ====
 +<code bash>openssl pkcs12 -export -out example.pfx -inkey example.key -in example.pem</code>
 +
 +===== Detaillierte Beschreibung der Einsatzmöglichkeiten von X.509-Zertifikaten =====
 +
 +<WRAP center round info 100%>
 +==== GÉANT TCS PKI ====
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_3-2022_www.pdf#page=10|GWDG Nachrichten 03|22]] - Teil 4: Automatisierte Erstellung von Serverzertifikaten mit Bot-Software
 +==== DFN-Verein Community CA ====
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_9-10-2020_www.pdf#page=10|GWDG Nachrichten 09-10|20]] - Teil 1: Serverzertifikate
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_12-2020_www.pdf#page=10|GWDG Nachrichten 12|20]] - Teil 2: Ein Blick hinter die Kulissen eines Teilnehmerservices
 +  - [[https://www.gwdg.de/documents/20182/27257/GN_3-2021_www.pdf#page=8|GWDG Nachrichten 03|21]] - Teil 3: Das Programm GUIRA für den Teilnehmerservice
 +
 +</WRAP>