Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

Relevanta dokument
Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

SUNET TCS. TREFpunkt 21. Kent Engström.

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

Beställning av certifikat v 2

Beställning av certifikat v 3.0

Microsoft Internet Information Services 7 / 7.5

Ändringar i utfärdande av HCC Funktion

Beställning av certifikat för anslutning till BankID (RP certificate) Version

Beställning av Förlitandepart-certifikat Version

Small Business Server 2011 SSL certifikat administration

Bordermail instruktionsmanual

Innehåll. Dokumentet gäller från och med version

Kundverifiering av SPs digitala signaturer

Manual Söka ledig tjänst Landstinget i Östergötland. Senast reviderad

Innehållsförteckning:

Telia Centrex IP Administratörswebb. Handbok

en stor bokstav och en siffra. Lösenordet får inte innehålla några tecken (!,,#,%,&)

En övergripande bild av SITHS

Installationsguide fo r CRM-certifikat

Modul 3 Föreläsningsinnehåll

Användarguide. Certifikatsansökan

Kom igång med Swish i kassan!

Telia Centrex IP Administratörswebb Handbok

E-posthantering med Novell Groupwise WebAccess

Kort instruktion - Leverantörsportal

Telia Centrex Avancerad Svarsgrupp - administratörswebb. Handbok

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

instruktion för att hämta certifikat med Windows Vista och Internet Explorer

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Handbok kundwebb för kunder Innehållsförteckning

Lathund för BankID säkerhetsprogram

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Filleveranser till VINN och KRITA

Instruktion: Trådlöst nätverk för privata enheter

IT policy för elever vid

Instruktion för att hämta personligt certifikat med Internet Explorer m.fl.

Compose Connect. Hosted Exchange

1. Ange ditt personnummer (utan bindestreck) samt din fyrsiffriga PIN-kod.

WS-MATERALTJÄNSTER-CERTIFIKAT Anvisningar hur man skaffar och förnyar certifikat E-postkanalen

Ekonomiportalen Sa kommer du iga ng

ANVÄNDAR-GUIDE för Bränneriets LAN

VPN (PPTP) installationsguide för Windows 7

Din manual NOKIA

Installera din WordPress med 9 enkla steg

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

Rutin för utgivning av funktionscertifikat

Ansök om Autogiro hos din golfklubb

Kom igång med Advance Online portal med certifikatsverifiering

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Instruktion för att hämta personli t certifikat med Internet Explorer m.fl.

Från och med den 22/6 kl 19:00 kommer alla nya mail till din nya postlåda, och inte längre till din gamla.

Årsskiftesrutiner i HogiaLön Plus SQL

Design Collaboration Suite

E-rekrytering Sökandeportalen

Instruktioner i Adoy - Ansökan till Lernias Yrkeshögskola

Generellt. Ljudsystemet instruktioner för handledare

Uppdatering av MONITOR Mobile 8.0

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Skapa e-postkonto för Gmail

SBR-Net - SBR:s informations- och mötesplats på webben! Med First Class-klientprogram

Manual C3 BMS v. 1.1 för Windows Mobile telefoner

Användarhandledning för The Secure Channel

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Lathund. Inställningar för att läsa e-post. Webbmail, Windows Mail, MacMail, OutlookExpress, Microsoft Outlook och Mozilla Thunderbird

Instruktioner för signering av planer i version 10/x av Acrobat prof. samt Chrome eller Firefox.

Byggsektorns Miljöberäkningsverktyg Användarmanual

SaaS and Web Services 8.3.0

Välj den översta profilen. Klicka på Radera, applikationen raderas. Klicka på hemknappen så att apparna slutar skaka

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Visma Proceedo. Att logga in - Manual. Version 1.3 /

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Instruktion för användande av Citrix MetaFrame

CIMOs internationella praktikplatser januari-februari 2011

Startguide för Administratör Kom igång med Microsoft Office 365

ANVISNING FÖR E-POST

Akzo Nobel AB. Användarguide - FAQ Externa användare. Sök jobb hos Akzo Nobel i vårt Rekryteringssystem

INTERNET Adress: fc.enkoping.se (obs! ej www i början) Då kommer du till denna sida. Logga in. Fyll i ditt Användarnamn och Lösenord.

Inställningar för Exchange 2007-plattform Office 2007 AutoDiscover (RPC over HTTPS) Område: Finland / Operativsystem: Windows Vista

E-post. Elektronisk post, Två huvudtyper av elektronisk post Outlook Express Säkerhetsåtgärder mot datavirus...

Handbok för användare. HCC Administration

Detta dokument innehåller instruktioner för hur du ska ställa in din ipad (ios 9) för olika ändamål

Använda Office 365 på en iphone eller en ipad

Skicka och hämta filer med automatik

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Skriv före adressen och lämna bort www enligt modellen:

7 Mamut Client Manager

FrontPage Express. Ämne: Datorkunskap (Internet) Handledare: Thomas Granhäll

Manual för Skapa gästkonton för konferens

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Internetsäkerhet. banktjänster. September 2007

Installationsguide / Användarmanual

Instruktioner för att installera och använda SpeedFeed. 1. Installation direkt på din dator.

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Din manual F-SECURE PSB AND SERVER SECURITY

JobOffice SQL databas på server

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Transkript:

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA. Sedan 2009 är SUNET medlem i TCS (Terena Server Certificate Service) vilket ger alla SUNETkunder tillgång till certifikat signerade av Comodo CA Limited. Certifikaten är sk servercertifikat som tex kan användas för att säkra kommunikation baserad på TLS för tex webbservrar och mailservrar Som medlem i SUNET TCS (Swedish University Network Terena Certificate Service) kan SLU förmedla sådana certifikat. Det finns ett antal begränsningar för vilka certifikat som kan utfärdas genom TCS. De viktigaste är: Certifikat får bara användas för icke-kommersiell verksamhet. Certifikat får bara utfärdas till verksamheter som är en del av myndigheten SLU. Certifikat får bara utfärdas för servrar vars DNS-namn slutar med.slu.se. TCS är till för att utfärda servercertifikat för TLS/SSL. Vi har begränsade möjligheter att påverka certifikatprofilen (innehållet i certifikatet). Den person som genererar certifikatbegäran på den tekniska nivån och fyller i webbforumuläret kallas i detta sammanhang Requestor. En behörig person på institutionen eller motsvarande måste intyga att begäran är korrekt. Behörig person som kallas Sponsor är prefekt, avdelningschef eller motsvarande. Ansökningsförfarande i korthet för SUNET TCS certifikat: Skapa privat nyckel och Certifikatsbegäran (csr) på/för det system som skall skyddas. Skicka in csr-filen och kompleterande information med hjälp av SUNET TCS websida för SLU CA. Skriv ut erhållet mail från SUNET TCS och underteckna det. Fyll i ansökningsblanketten och lämna in den tillsammans med det undertecknade mailet från punkten ovan till någon av följande personer vid SLUs IT-enhet, Box 7079, 750 07 Uppsala: o Svante Anderson <Svante.Anderson@data.slu.se> 018-673002 När SLU CA verifierat ansökan så kommer certifikatet att skickas via mail från Comodo till den Requestor som ansökt om certifikatet.

I och med ansökan om certifikat gäller att: Vid misstanke om kompromettering av nycklar ska detta snarast anmälas till SLU CA samt revokera certifikatet. Den privata nyckeln ska bevaras hemlig. Denna information kan komma att spridas internationellt. Certifikat kan komma att publiceras. Certifikatet ska hållas giltigt och får inte ha expirerat Nedan följer mera detaljerad information om ansökningsförfarandet. Punkt 1: Förbered dig. Förbred dig genom att först läsa igenom denna anvisning. Se till att vara ute i god tid. Certifikat utfärdas normalt inom en vecka. Det finns ett antal begränsningar för vilka certifikat som kan utfärdas genom SUNET TCS, se ovan. Vid tveksamhet kontakta SLU CA för att diskutera situationen. Punkt 2: Skapa privat nyckel och certifikatsbegäran Innan du kan ansöka om certifikat måste du skapa en privat nyckel och en fil med certifikatbegäran (CSR-, Certificate Signing Request) i s k PKCS#10-format för varje certifikat. Se till att denna privata nyckel skyddas mot obehörig åtkomst. Du bör också ordna en säkerhetskopia av denna privata nyckel (som då också måste hållas skyddad

Krav: Rekommenderad nyckelläng 2048 bitar. Den får dock INTE vara mindre än 1024 bitar. Tjänst (Common Name, CN) Ska vara tjänstens/serverns DNS-namn. T ex server@slu.se Sektion/Avdelning (Organizational Unit Name, OU) Ska vara Institutionens eller enhetens förkortning eller fullständiga namn. Organisation (Organization Name, O) anges med exakt stavning inklusive stora/små bokstäver som: Sveriges lantbruksuniversitet Stad (Locality Name, L) Ska utelämnas helt om möjligt (inte bara vara tom). Det är egalt vad du skriver då detta fält raderas vid ansökan. Region/Landskap (State or Province Name, ST) Ska utelämnas helt om möjligt (inte bara vara tom). Det är egalt vad du skriver då detta fält raderas vid ansökan. Landsnamn (Country Name, C) Ska vara med stora bokstäver: SE Nedan följer ett exempel på OpenSSL men vi hänvisar också till följande websidor för andra platformar/servrar Från Linköpings Universitet URL: http://ca.liu.se/beg/scs.html Från Uppsala Universitet URL: http://www.its.uu.se/tjanster/scs/ Exempel på hur en nyckel och en CSR för en fiktiv server www.minserver.slu.se kan skapas med OpenSSL (Apache m fl): Kommandot skrivs på en enda rad. openssl req -new -sha1 -newkey rsa:2048 -nodes -subj "/CN=www.minserver.slu.se/OU=Min institution/o=sveriges lantbruksuniversitet/c=se" -keyout www.minserver.slu.se.key - out www.minserver.slu.se.csr För att verifiera innehållet i CSR-filen kan följande kommando användas: openssl req -in www.minserver.slu.se.csr -noout -text I filen www.minserver.slu.se.key finns den privata nyckeln vilken måste hållas hemlig och skyddas mot obehörig åtkomst. I filen www.minserver.slu.se.csr finns den csr som ska kopieras in på websidan för certifikatsbeställning, se nedan.

OBS! Om nyckeln har ett lösenord så kan man behöva ange detta vaje gång som servern startas och följande OpenSSL-komando kan ta bort nyckeln: Openssl rsa -in www.minserver.slu.se.key -out newfilename.key Exempel på hur en nyckel och en CSR för en fiktiv server www.minserver.slu.se kan skapas för Microsoft IIS 6.0: Starta Internet Services Manager som finns unter Adminitrative Tools i startmenyn. Ta fram Properties (höger klick) för den site du ska ansöka om certifikat för. Välj fliken Directory Security och klicka Server Certificate. Välj Create a New Certificate och Prepare the Request now, but send it later i wizarden. Ge svar på frågorna om de olika namnkomponenter, se ovan. State/Province (ST) och City/Locality (L) borde utelämnas, men IIS verkar inte tycka om det så något måste fyllas i men det är egealt med vad då dessa fält rensas ut vid själva ansökan. Spara den skapade CSR till en fil, den som ska bifogas ansökan, genom att bekräfta och avsluta wizarden. OBS! Microsoft IIS 6.0 har vid förnyade av certifikat eller om det redan finns ett certifikat som används för siten. När gennereringen av CSR så slutar det befintliga att fungera tills man fått och installerat det nya certifikatet! Det finns ett workaround som går ut påå att lura systemet genom att skapa en tillfällig site (se URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;q295281) Exempel på hur en nyckel och en CSR för en fiktiv server www.minserver.slu.se kan skapas för Microsoft Windows 2008 CSR gennererade med Windows 2008 använder strängtypen UTF8STRING, vilket tidigare SUNET SCS certifikat inte klarade. I SUNET TCS finns inte denna begränsning. Punkt 3: Skicka in csr-filen och kompleterande information via WWW.

Nu är det dags att skicka in CSR-filen och samtidigt fylla i kompletterande information via SUNET TCS sidor för SLU.på URL: https://tcs.sunet.se/apply/slu/ och fylla i enligt nedan: Certificate Request: Kopiera in CSR-filens innehåll i textrutan eller ladda upp den som fil genom att använda Browse. Certificate valid for: 3 års giltighetstid är förvalt och ändra endast i specialfall. Certificate variant: Behåll förvalet såvida du inte har problem med svenska tecken Requstor email: Fyll i din e-postadress. Välj Check and update för att kontrolera att certifikatet är korrekt. Kontrollera att informationen från CSR-filen syns och är korrekt. Här kan du även lägga till ytterligare namn (Subject Alternative Names) som certifikatet ska skydda. Du kan även ändra Organizational Unit eller Requestor email om de uppgifterna skulle ha blivit fel. Om du avser att ansöka om fler certifikat under samma session, så kryssa i I will requwst multiple certificates du får då vissa fällt förifyllda till nästa certifikatsbegäran. Slutligen bockar du i I declare that the above information is correct och klickar på Apply för att skicka certifikatet för signering.

Det är viktigt att alla uppgifter är korrekt ifyllda då vi på SLU CA endast kan godkänna eller avslå begäran om signering. Skulle någon väsentlig uppgift för ett certifikat vara felaktig så tvingas vi avslå ansökan och du måste göra en ny korrekt ansökan. Du kommer som Requestor att få ett e-post från SUNET TCS och du behöver en underskriven kopia av detta e-mail som ska bifogas ansökningsblanketten i nästa steg. Ansökan om flera certifikat vid samma tillfälle.. Om du ansöker om flera certifikat med samma Requestor och Sponsor kan du nu göra samma för dessa certifikat innan du går vidare till nästa punkt. Punkt 4: Fyll i blanket och skicka in. SLU CA måste nu godkänna din begäran innan certifikatet signeras av Comodo på vårt ansvar. För att ha möjlighet att kontrollera att allt är OK och för att få spårbarhet kräver vi att du fyller i och skickar in blanketten Ansökan om certifikat från TCS via SLU CA. Uppgifterna om dig som är Requestor ska vara samma som fyllts i på webbformuläret under punkt 3. Kom ihåg att underteckna! Be den som är sponsor (se punkt 1)att fylla i sin del och underteckna.

I tabellen under certifikat finns plats för upp till 10 st certifikat. Fyll i Skicka blanketten med internpost till: SLU CA c/o Svante Anderson IT-enheten, Box 7079 Instruktioner för installation av TCS certifikatet på Apache I TLS/SSL-konfigurationen ska följande rader läggas in, med de filnamn som är korrekta i din Apache-miljö: SSLCertificateFile /opt/apache/conf/certs/www.minserver.slu.se.pem SSLCertificateKeyFile /opt/apache/conf/certs/www.minserver.slu.se.key SSLCertificateChainFile /opt/apache/conf/certs/sureserveredu.pem Filen www.minserver.slu.se.pem är det certifikat du fått utfärdat (namnet i epostsvaret från Comodo kan vara annorlunda). Filen www.minserver.slu.se.key är den nyckel-fil du skapade tillsammans med certifikat-begäran ovan. Tänk på att fortsätta skydda den mot obehörig åtkomst! Den som kommer över den här filen kan låtsas vara servern. Filen sureserveredu.pem är CA-certifikatet som du också tankade hem nyligen. Webbservern måste skicka med det också för att användarens webbläsare ska kunna sätta ihop certifikatkedjan. Rot-certifikatet behöver inte konfigureras på något sätt i webbservern. Användaren som ska surfa till webbservern behöver inte heller göra något, eftersom detta certifikat finns med i alla vanliga webbläsare. Om du har frågor angående detta kan du kontakta oss via epost på slu-ca@slu.se Förlaga från Liu

SLU CA 2010-01-22

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss