Skip navigation.

Szerver tanúsítvány (NIIF TERENA SCS) igénylése

Nyomtatóbarát változatNyomtatóbarát változat

NIIF TERENA Certificate Service (továbbiakban TCS) tanúsítványokat az NIIF tagintézmények web szervereinek rendszergazdái igényelhetnek abban az esetben, ha intézményük a TCS szolgáltatásra vonatkozó tagintézményi szerződés-kiegészítést kötött az NIIF Intézettel (ezzel kapcsolatban az intézményi NIIF kapcsolattartónál, vagy informatikai vezetőnél célszerű érdeklődni). Az igénylés menetét az alábbiakban egy OpenSSL és Apache-ModSSL példán keresztül mutatjuk be:

1. Az igénylő tanúsítvány kérést és privát kulcsot generál, pl. OpenSSL segítségével. Ehhez használhatjuk az alábbi openssl.cnf állományt (amelyet érdemes lehet testreszabni):

openssl req -new -newkey rsa:2048 -out www.tanszek.egyetem.hu.csr -keyout \
www.tanszek.egyetem.hu.key -nodes -config openssl.cnf

A tanúsítvány kérés során az alábbi kérdésekre kell választ adni:

Country Name (2 letter code) [HU]:
Organization Name (eg, company) [NIIF Intezet]:
Organizational Unit Name (eg, section) []:Webserver Team
Common Name (FQDN of your webserver) []:www.niif.hu
Second FQDN (optional) []:niif.hu
Third FQDN (optional) []:
Fourth FQDN (optional) []

A HU attribútumot változatlanul hagyjuk, az Organization Name rovatba beírjuk az intézmény nevét, vagy rövidített nevét, az Organizational Unit Name mezőbe pedig a szervezeti egység nevét (például: X tanszek, Y labor, webserver team, munkaugy). Ügyeljünk arra, hogy sehol ne használjunk ékezetes karaktereket!

  • Egy tanúsítványban több nevet is tanúsíthatunk, ha több CN mezőt írunk az igénylésbe. Ebben az esetben a tanúsítvány CN-je az első CN lesz, a többi pedig SubjectAltName kiterjesztésként fog megjelenni. Bizonyos programok nem kezelik jól a SubjectAltName kiterjesztést (pl. a wget). Biztonsági szempontok miatt javasoljuk, hogy csak abban az esetben szerepeljen egy tanúsítványban több név, ha azok valóban egyetlen funkciót látnak el (mint a fenti példában).
  • Bizonyos programokba nem lehet OpenSSL által generált privát kulcsot és tanúsítványt betölteni. Ebben az esetben a program használati útmutatója alapján kell a tanúsítvány-igénylést elkészíteni és azt PKCS#10 formában benyújtani.
  • Bizonyos tanúsítvány-típusokhoz további mezők lehetnek szükségesek (pl. email). Ehhez az openssl.cnf állományt kell módosítanunk, hogy bekérje a hiányzó adatokat. Lásd: http://linux.die.net/man/5/config

A parancs sikeres kiadása után a privát kulcs a www.tanszek.egyetem.hu.key fájlba, a tanúsítvány kérés pedig a www.tanszek.egyetem.hu.csr fájlba kerül.

Példa:

OpenSSL konfigurációs file egy domain névhez:

...
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn

[ dn ]
C = HU
L = Budapest
O = Budapesti Muszaki es Gazdasagtudomanyi Egyetem
OU = Tanszek Teljes Neve
CN = www.tanszek.bme.hu


...


OpenSSL konfigurációs file több domain névhez:

...
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn

[ dn ]
C = HU
L = Budapest
O = Budapesti Muszaki es Gazdasagtudomanyi Egyetem
OU = Tanszek Teljes Neve
0.CN = www.tanszek.bme.hu
1.CN = tanszek.bme.hu
...

openssl req -new -config www.tanszek.bme.hu.cnf -keyout www.tanszek.bme.hu.key -out www.tanszek.bme.hu.csr

 

2. Védjük le a privát kulcsot, valamint ellenőrizzük a tanúsítvány-kérést az alábbi parancsokkal:

chmod 400 www.tanszek.egyetem.hu.key
openssl req -in www.tanszek.egyetem.hu.csr -noout -verify -text

3. Adjuk fel a tanúsítvány kérést az e célra kialakított oldalon.

Illusztráció:

Igénylőfelület képe

4. Miután az igénylésről e-mail értesítést kap, az intézményi Proxy személy felkeresi az igénylőt azonosítási céllal. Az intézményi kapcsolattartónak jogában áll azonosítani az igénylőt. Sikeres azonosítás esetén a Proxy az adminisztrációs felületen bejelentkezve aláírja a tanúsítványt.

5. Az aláírt tanúsítványt az igénylő az általa megadott e-mail címre kapja meg.

6. Apache web szerver esetén ügyelni kell arra, hogy a tanúsítvány láncolatok is be legyenek állítva. A tanúsítvány láncolatok letöltéséhez szükséges linket az aláírt tanúsítványt is tartalmazó emailben kapja meg az igénylő.

Állítsuk be az Apache megfelelő attribútumait:

SSLCertificateFile /etc/ssl/www.tanszek.egyetem.hu.pem
SSLCertificateKeyFile /etc/ssl/www.tanszek.egyetem.hu.key
SSLCertificateChainFile /etc/ssl/chain-www.tanszek.egyetem.hu.pem

Esetleges kérdés, probléma esetén forduljon hozzánk az <scs [at] niif [dot] hu> email címen!