Hvordan bestille og revokere tjenersertifikater

Her finner du en fremgangsmåte for å bestille, håndtere og revokere tjenersertifikater fra sertifikattjenesten. Klikk her for omtaler av andre sertifikattyper.

Denne siden er laget for de som har brukerkonto på DigiCert-portalen. Andre som ønsker å bestille sertifikater bes kontakte sine lokale administratorer.

  1. Velg type sertifikat
  2. Lag en Certificate Signing Request (CSR) og nøkkelpar
  3. Send inn CSR-en
  4. Godkjenning og validering av sertifikater
  5. Installasjon av sertifikater
  6. Varsel ved utløp
  7. Revokering av sertifikater

 

1. Velg type sertifikat

Logg inn på sertifikatportalen, klikk:«Orders»/«Request a certificate». Du kan velge blant følgende typer sertifikater:         

SSL for tjenere (web, e-post, mv.)
Grid for tjenere og klienter i e-Science Grid
Client personertifikater for signering av e-post mv.
Code signing for signering av programkode
Document Signing for signering av elektroniske dokumenter, f.eks. PDF

Klikk SSL for å bestille tjenersertifikat. DigiCert tilbyr 5 typer tjenersertifikater:

#  Betegnelse
1  SSL Plus
2  Multi-Domain SSL
3  WildCard Plus
4  EV SSL Plus
5  EV Multi-domain

#1, #2 og #3 er sertifikater med «Organiation Validation», dvs. at de kan inneholde feltene Organizational Unit (OU), Locality (L) og State (ST), les mer under om generering av CSR.

#4 og #5 er tjenersertifikater med «Extended Validation» (EV), som gir brukeren «grønn adresselinje» i nettleseren med direkte informasjon om organisasjonen.  EV-sertifikater  er primært tiltenkt offentlige tjenester med høye sikkerhetskrav, f.eks. innloggingstjenster.

#1 og #4 støtter ikke Subject Alternative Names (SAN) og har som sådan begrenset bruksområde.  Hvis du ikke vet hvilken type du skal bestille, velg #3 Multi-Domain SSL.  Portalen angir en grense på 25 SAN, men opptil 150 har vært testet uten problemer.

#3 støtter SAN, men bare innenfor samme (sub-)domene som wilcardet. For eksempel kan et sertifikat med CN *.test.uninett.no bare inneholde SAN på formen .test.uninett.no.

 

 2. Lag en Certificate Signing Request (CSR) og nøkkelpar

En CSR er en standardmelding som sendes til en sertifikatutsteder for å søke om et elektronisk sertifikat.  Formatet er spesifisert i PKCS#10.   DigiCert tilbyr et antall generatorer for å lage CSR-er til forskjellige plattformer, klikk «Tools»/«Easy CSR Generators» i sertifikatportalen.

I den følgende beskrivelsen benytter vi programmet OpenSSL for å lage en CSR og nøkkelpar.  Det enkleste er å lage en kort konfigurasjonsfil som blir brukt av kommandoen openssl req.  Konfigurasjonsfilen bør lagres i UTF8-format, ellers kan det oppstå problemer med bruk av særnorske tegn.  Konfigurasjonsfilen («myserver.cnf») kan se ut som følger:

Sertifikat med ett DNS-navn

  [ req ]
  default_bits = 2048
  prompt = no
  encrypt_key = yes
  default_md = sha256
  distinguished_name = dn
  utf8 = yes

  [ dn ]
  C = NO
  O = <Offisielt navn for din organisasjon>
  OU = <Organizational Unit>
  ST = <State>
  L =  <Locality>
 CN = <Fully Qualified Domain Name (FQDN) for serveren>

Sertifikat med flere DNS-navn
Dersom du ønsker et sertifikat med flere DNS-navn, må konfigurasjonsfilen utvides.  I eksemplet under har vi lagt inn tre navn; systemet er testet opp til 150 SubjectAlternativeNames.

  [ req ]
  default_bits = 2048
  prompt = no
  encrypt_key = yes
  default_md = sha256
  distinguished_name = dn
  utf8 = yes
  req_extensions = v3_req

  [ v3_req ]
  subjectAltName = @alt_names

  [ dn ]
  C = NO
  O = <Offisielt navn for din organisasjon>
  OU = <Organizational Unit>
  ST = <State>
  L =  <Locality>
  CN = <Første FQDN for serveren>

  [alt_names]
  DNS.0 = <Første FQDN for serveren>
  DNS.1 = <Andre FQDN for serveren>
  DNS.2 = <Tredje FQDN for serveren>

Hovednavnet («A record») for serveren bør registreres som CN samt første DNS (DNS.0), siden bare denne verdien vil bli lagret i subject-feltet i det ferdige sertifikatet.  Alle DNS.n ender opp som subjectAltName-felter.  Mange applikasjoner ser bort fra CN dersom det finnes innslag for subjectAltName, derfor bør første FQDN også være med her.

CN er obligatorisk for alle sertifikater.  CN må være FQDN for serveren. CN kan ikke være en IP-adresse og heller ikke et lokalt domene, f.eks. «server.local».

Feltene C og O er obligatoriske.  I tillegg kan man bruke OU («Organizational Unit»), L («Locality») og ST («State»).

default_bits: Nøkkellengde («default_bits») må være mellom 2048 og 8192 bits.
default_md: Mulige valg er sha256, sha384 og sha512Kontakt UNINETT dersom du trenger sertifikater med sha1 for spesielle applikasjoner.

Med OpenSSL genererer man  privat nøkkel og CSR slik:

    $ openssl req -new -config myserver.cnf -keyout myserver.key -out myserver.csr

Denne kommandoen lager et RSA-nøkkelpar hvor den private nøkkelen lagres i filen myserver.key og CSR i filen myserver.csr.  I eksemplet må du velge et passord som beskytter den private nøkkelen. Hvis du setter «encrypt_key = no»,  blir den private nøkkelen lagret ukryptert uten passord; i så fall må du passe godt på nøkkelfilen, slik at den ikke kommer på avveier!
Med OpenSSL kan man sjekke at CSR-en er korrekt før bestilling:

  $ openssl req -noout -text -in myserver.csr

3. Send inn CSR-en

Logg inn på Digicert.com, Klikk «Orders» og «Request a Certificate».  Velg sertifikattype og klikk «Order Now». Kopier CSR-en inn i tekstboksen, eller klikk «Click to upload».  Under «Common Name» kan du legge til flere SAN fra listen over validerte domener.  Legg evt. inn OU, velg gyldighetstid, hashfunksjon og plattform og klikk «Submit Certificate Request».

4. Godkjenning og validering av sertifikater

Etter at CSR-en er sendt inn, går det e-post til administratorene for organisasjonen om at det er bestilt et sertifikat:
 From: DigiCert <admin@digicert.com>
 Subject: A certificate has been requested for <...>

En av administratorene må loggen inn og godkjenne bestillingen. Sertifikatet blir deretter utstedt og sendt på e-post til bestiller.  Det er også mulig å laste ned utstedte sertifikater i forskjellige formater fra DigiCert, gå inn på «Orders»/«Certificate Orders» og klikk «View» for det aktuelle sertifikatet.

Dersom det er bestilt et EV-sertifikat, går det i tillegg en e-postmelding til de(n) administratoren(e) som er autorisert for å godkjenne slike bestillinger.  En av disse må eksplisitt godkjenne bestillingen.

5. Installasjon av sertifikater

For å installere sertifikatet må du følge dokumentasjonen for din server.  Det er viktig at du også installerer mellomsertifikatene (Certificate Chain) som blir sendt sammen med sertifikatet.  DigiCert har en applikasjon som sjekker at sertifikat og sertifikatkjede er korrekt installert på en server, klikk «Tools»/«Chain Checker Tool».
DigiCert benytter p.t. følgende sertifikatkjeder for tjenersertifikater:

DigiCert High Assurance EV Root CA
   TERENA SSL High Assurance CA 3
       <EV tjenersertifikat>

DigiCERT Assured ID Root CA
   TERENA SSL CA 3
       <tjenersertifikat>

Alle rot- og mellomsertifikatene kan lastes ned fra TCS repository.
 

6. Varsel ved utløp

DigiCert sender automatisk påminnelser på e-post om sertifikater som er i ferd med å utløpe.  Dette kan styres ved å klikke «Certificate orders», «view» for et sertifikat og «Manage renewal notice frequency».
Default er følgende:
   Email 90 Days Before Expiration
   Email 60 Days Before Expiration
   Email 30 Days Before Expiration
   Email 7 Days Before Expiration
   Email 3 Days Before Expiration
   Email 7 Days After Expiration

Administratorer får et varsel om sertifikater som nærmer seg utløp når de logger seg på sertifikatportalen.

7. Revokering av sertifikater

Administratorer kan revokere sertifikater for sin divisjon.  Klikk «Certificate Orders», velg det aktuelle sertifikatet og klikk «Revoke Certificate».

Kontakt: