Navigation und Service

Information Server-Zertifikate

Beantragen von Server-Zertifikaten (Grid)

Zur Beantragung eines Grid-Server-Zertifikates muss zunächst ein sog. Certificate Signing Request (CSR) erzeugt werden. Dieser wird anschließend mit Hilfe der Web-Schnittstelle (Grid Server) in den Zertifikatsantrag eingebunden.

Um den Request zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt openssl. Bei der Dokumentation findet sich eine openssl-Kurzreferenz. Die Mindestlänge des privaten Schlüssels beträgt 1024 Bytes, empfohlen wird aber eine Länge von 2048 Bytes.

In jedem Fall sind bei diesem Prozess die folgenden (ggfs. [optionalen]) Angaben zu machen, aus denen der eindeutige Name des Zertifikats-Subjects gebildet wird.

  • C=DE
  • O=GridGermany
  • OU=Forschungszentrum Juelich GmbH
  • [OU=(Organisationseinheit)]
  • CN=(voll qualifizierter Name des Servers)
  • EMail=(Mail-Adresse des Administrators)

Bitte beachten Sie unbedingt die folgenden Hinweise:

  • Groß-/Kleinschreibung ist zu beachten
  • Der zu verwendende Zeichensatz findet sich im CPS (Abschnitt 3.1.4), insbesondere dürfen Umlaute und ß nicht verwendet werden
  • Bei einigen Anwendungen lässt es sich nicht verhindern, dass weitere Attribute in das Subject eingebaut werden (insbesondere L für Location und St für State). In solchen Fällen wird das Subject vor dem Übermitteln des CSR an die CA von der Registrierungsstelle korrigiert.

Erzeugen der Schlüssel und des Certificate Signing Requests (CSR) für Server mit openssl

Dick gedruckt sind in der folgenden ssl-Sequenz die Felder, für die Eingaben gemacht werden müssen. Um sicherzustellen, dass die anderen Felder leer bleiben, muss dort bei Benutzung von openssl ein Punkt eingegeben werden. Das eingegebene Passwort (PEM pass phrase) dient zum Schutz Ihrer Schlüssel und darf nicht verloren gehen.
Bei der Erzeugung eines Server-CSR muss beim common name der vollständige Rechnername eingetragen werden. Die folgende Mail-Adresse muss dann diejenige des Systemadministrators sein.

_______________________________________________________________________

openssl req -newkey rsa:2048 -keyout key.pem -out servername_CSR.pem

Generating a 2048 bit RSA private key
..........................+++
...........................................+++
writing new private key to 'key.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) [ ]:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GridGermany
Organizational Unit Name (eg, section) [ ]:Forschungszentrum Juelich GmbH
Common Name (eg, YOUR name) [ ]:rechner.name.kfa-juelich.de
Email Address [ ]:g.mustermann@fz-juelich.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password [ ]:.
An optional company name [ ]:.

_______________________________________________________________________

Die Ausführung des openssl-Kommandos erzeugt zwei Dateien:

  • key.pem enthält den privaten Schlüssel, diese Datei ist durch das eingegebene Passwort geschützt und muss sorfältig aufbewahrt werden.
  • servername_CSR.pem: Diese Datei enthält den Certificate Signing Request, der von der Registrierungsstelle im ZAM nach Prüfung Ihrer Angaben und Ihres Ausweises an DFN-CERT Services übermittelt wird, wo dann das Zertifikat erzeugt wird. Der Inhalt des Requests kann zur Kontrolle mit dem Befehl
    openssl req -noout -text -in g.mustermann_CSR.pem
    gelistet werden.

Das fertiggestellte Zertifikat wird dem Administrator per Mail zugestellt.