Bakgrund... 1. Avgränsningar... 2. Begreppsförklaring... 2. Kortfattade anvisningar... 2



Relevanta dokument
Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

SUNET TCS. TREFpunkt 21. Kent Engström.

Beställning av certifikat v 2

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

Beställning av certifikat v 3.0

Microsoft Internet Information Services 7 / 7.5

Manual Söka ledig tjänst Landstinget i Östergötland. Senast reviderad

Kundverifiering av SPs digitala signaturer

Ändringar i utfärdande av HCC Funktion

E-posthantering med Novell Groupwise WebAccess

Innehållsförteckning:

Ansök om Autogiro hos din golfklubb

Beställning av certifikat för anslutning till BankID (RP certificate) Version

Bordermail instruktionsmanual

Installationsguide fo r CRM-certifikat

Filleveranser till VINN och KRITA

en stor bokstav och en siffra. Lösenordet får inte innehålla några tecken (!,,#,%,&)

Lathund för BankID säkerhetsprogram

Telia Centrex IP Administratörswebb. Handbok

Small Business Server 2011 SSL certifikat administration

Innehåll. Dokumentet gäller från och med version

Beställning av Förlitandepart-certifikat Version

Handbok kundwebb för kunder Innehållsförteckning

En övergripande bild av SITHS

Kort instruktion - Leverantörsportal

Användarguide. Certifikatsansökan

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen.

Telia Centrex Avancerad Svarsgrupp - administratörswebb. Handbok

Rutin för utgivning av funktionscertifikat

WS-MATERALTJÄNSTER-CERTIFIKAT Anvisningar hur man skaffar och förnyar certifikat E-postkanalen

Uppdaterad Lathund Synpunkten för handläggare och ansvarig chef

instruktion för att hämta certifikat med Windows Vista och Internet Explorer

Telia Centrex IP Administratörswebb Handbok

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Modul 3 Föreläsningsinnehåll

Kom igång med Advance Online portal med certifikatsverifiering

Hja lpdokument fo r IncertOnline

1. Ange ditt personnummer (utan bindestreck) samt din fyrsiffriga PIN-kod.

Visma Proceedo. Att logga in - Manual. Version 1.3 /

E-rekrytering Sökandeportalen

Kom igång med Swish i kassan!

Användarhandledning för RSV:s Elektroniska brevlåda

Manual Interbook. Datum: Version 1.3 Sidan 1 (14)

Startguide för Administratör Kom igång med Microsoft Office 365

ANVISNING FÖR E-POST

Information för dig som använder en kommunägd ipad

Din manual NOKIA

Manual för din hemsida

Skapa e-postkonto för Gmail

Design Collaboration Suite

Qlik Sense Cloud. Qlik Sense Copyright QlikTech International AB. Alla rättigheter förbehållna.

Lathund för Elektronisk signatur digitalt ID

En personuppgift är information som kan kopplas till en fysisk person som är i livet. Även kodade uppgifter kan anses vara personuppgifter.

Manual webb-bokning. Giltig från Kontakt: Emilia Lindberg, turist- och fritidskonsulent

Användarhandledning för The Secure Channel

VPN (PPTP) installationsguide för Windows 7

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Ekonomiportalen Sa kommer du iga ng

Instruktion för att hämta personligt certifikat med Internet Explorer m.fl.

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Riktlinjer och anvisningar avseende säkerhet. vid informationsutbyte via EDI. Version

Instruktion: Trådlöst nätverk för privata enheter

Steg 5 Webbsidor One.com och OpenOffice Writer Mac OS X

Skriv före adressen och lämna bort www enligt modellen:

Compose Connect. Hosted Exchange

Manual Interbook Bygdegårdar

Generellt. Ljudsystemet instruktioner för handledare

E-post. Elektronisk post, Två huvudtyper av elektronisk post Outlook Express Säkerhetsåtgärder mot datavirus...

Installera din WordPress med 9 enkla steg

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

Manual för Skapa gästkonton för konferens

ANVÄNDAR-GUIDE för Bränneriets LAN

Lathund. Uppsökande verksamhet i Tandvårdsfönster

Arbeta i Sharepoint dokumenthanteringssystem

Frontermanual för Rektorsprogrammet

TIS-Web startguide 3.6. TIS-Web Startguide

Steg 1 Starta Windows Live Mail och påbörja konfigurationen

SBR-Net - SBR:s informations- och mötesplats på webben! Med First Class-klientprogram

Installationsguide / Användarmanual

Kultur- och fritidskontoret LATHUND. Söka/ skicka förfrågningar om lediga lokaler

Användarbeskrivning ARBETSGIVARINTYG. för Sveriges alla arbetsgivare. arbetsgivarintyg.nu. En ingång för alla användare. Innehåll. Version 1.

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Detta dokument innehåller instruktioner för hur du ska ställa in din ipad (ios 9) för olika ändamål

IT policy för elever vid

Välj den översta profilen. Klicka på Radera, applikationen raderas. Klicka på hemknappen så att apparna slutar skaka

Övning: Skapa en ny regel

Lathund för Novell Filr

Instruktion för att hämta personli t certifikat med Internet Explorer m.fl.

2. Ifall det är första gången ert nätverk ansöker om Nordplus-stöd via denna databas (2005 ) måste du registrera dig som ny användare.

Att komma igång med ELDA

Manual C3 BMS v. 1.1 för Windows Mobile telefoner

INTERNET Adress: fc.enkoping.se (obs! ej www i början) Då kommer du till denna sida. Logga in. Fyll i ditt Användarnamn och Lösenord.

Termer och begrepp. Identifieringstjänst SITHS

Europe a n Com m ission Youth in Action E-form 2012 Guidelines

Transkript:

1(7) Manual för Syfte Dokumentet beskriver vilka rutiner som gäller när man behöver ett elektroniskt certifikat för att t.ex. säker kommunikation med en server som SLU hanterar. Dokumentet riktar sig till IT-samordnare och IT-avdelningens personal. Innehåll Bakgrund... 1 Avgränsningar... 2 Begreppsförklaring... 2 Kortfattade anvisningar... 2 Detaljerade anvisningar... 3 Punkt 1: Förbered dig.... 3 Punkt 2: Skapa privat nyckel och certifikatsbegäran... 3 Generering med OpenSSL... 4 Generering med Windows IIS 6.0... 5 Punkt 3: Skicka in CSR och ansökan via webbformulär... 5 Flera certifikat på samma ansökan... 6 Punkt 4: Fyll i blanketten och skicka in... 6 Installation av certifikat i Apache... 7 Bakgrund Sedan 2009 är SUNET medlem i TCS (Terena Server Certificate Service) vilket ger alla SUNET kunder tillgång till certifikat signerade av Comodo CA Limited. Certifikaten är så kallade servercertifikat som tex kan användas för att säkra kommunikation baserad på TLS för till exempel webbservrar och mailservrar Som medlem i SUNET TCS (Swedish University Network Terena Certificate Service) kan SLU förmedla sådana certifikat.

2(7) Avgränsningar Det finns ett antal begränsningar för vilka certifikat som kan utfärdas genom TCS. De viktigaste är: Certifikat får bara användas för icke-kommersiell verksamhet. Certifikat får bara utfärdas till verksamheter som är en del av myndigheten SLU. Certifikat får bara utfärdas för servrar vars DNS-namn slutar med.slu.se. TCS är till för att utfärda servercertifikat för TLS/SSL. Vi har begränsade möjligheter att påverka certifikatprofilen (innehållet i certifikatet). Begreppsförklaring Term Requestor Sponsor Server Certificate Server Certificate with organization validation Förklaring Den person som genererar certifikatbegäran på den tekniska nivån och fyller i webbformuläret En behörig person på institutionen eller motsvarande som intygar att begäran är korrekt och att det rör en resurs som de känner till. Sponsorn ska vara systemägaren eller prefekt/ motsvarande. Ett enklare certifikat som bara validerar servern. Denna variant är oftast tillräcklig för t.ex. en webbserver Ett certifikat där det finns fullständig information om den organisation som står bakom tjänsten som certifikatet validerar. Denna typ av certifikat kräver att certifikatutlämnaren (CA) verifierar att förfrågningen kommer från SLU genom telefonsamtal. Denna procedur tar betydligt längre tid än utan organisationsvalidering och bör inte användas om det inte är nödvändigt Kortfattade anvisningar Ansökningsförfarande i korthet för SUNET TCS certifikat: Skapa privat nyckel och Certifikatsbegäran (csr) på/för det system som skall skyddas. Skicka in csr-filen och kompletterande information med hjälp av SUNET TCS websida för SLU CA. Skriv ut erhållet mail från SUNET TCS och underteckna det.

3(7) Fyll i ansökningsblanketten och lämna in den tillsammans med det undertecknade mailet från punkten ovan till Bo Sarling, IT-avdelningen, Box 7079, 750 07 Uppsala När SLU CA verifierat ansökan så kommer certifikatet att skickas via mail från Comodo till den Requestor som ansökt om certifikatet. I och med ansökan om certifikat gäller att: Vid misstanke om kompromettering av nycklar ska detta snarast anmälas till SLU CA samt dra tillbaka (revokera) certifikatet. Den privata nyckeln ska bevaras hemlig. Denna information kan komma att spridas internationellt. Certifikat kan komma att publiceras. Certifikatet ska hållas giltigt (cerifikatet bör förnyas innan det går ut) Detaljerade anvisningar I detta stycke finns utförligare beskrivningar av vilka steg som behöver utföras för att få ett certifikat. Punkt 1: Förbered dig. Förbered dig genom att först läsa igenom denna anvisning. Se till att vara ute i god tid. Certifikat utfärdas normalt inom en vecka. Det finns ett antal begränsningar för vilka certifikat som kan utfärdas genom SUNET TCS, se avgränsningar ovan. Vid tveksamhet kontakta CSIRT funktionen på adress certificates@slu.se eller på telefon 018 67 6606 för att diskutera situationen. Punkt 2: Skapa privat nyckel och certifikatsbegäran Innan du kan ansöka om certifikat måste du skapa en privat nyckel och en fil med certifikatbegäran (CSR-, Certificate Signing Request) i s k PKCS#10-format för varje certifikat. Se till att denna privata nyckel skyddas mot obehörig åtkomst. Du bör också ordna en säkerhetskopia av denna privata nyckel (som då också måste hållas skyddad) Krav: Nyckellängden får inte vara mindre än 2048 bitar.

4(7) Tjänst (Common Name, CN) Ska vara tjänstens/serverns DNS-namn. T.ex. server@slu.se Sektion/Avdelning (Organizational Unit Name, OU) Ska vara institutionens/avdelningens eller enhetens förkortning eller fullständiga namn. Organisation (Organization Name, O) anges med exakt stavning inklusive stora/små bokstäver som: Sveriges lantbruksuniversitet Stad (Locality Name, L) Ska utelämnas helt om möjligt (inte bara vara tom). Det är egalt vad du skriver då detta fält raderas vid ansökan. Region/Landskap (State or Province Name, ST) Ska utelämnas helt om möjligt (inte bara vara tom). Det är egalt vad du skriver då detta fält raderas vid ansökan. Land (Country Name, C) Ska vara med stora bokstäver: SE Nedan följer ett exempel på OpenSSL men vi hänvisar också till följande websidor för andra plattformar/servrar Linköpings Universitet, URL: http://ca.liu.se/beg/tcs.html Uppsala Universitet, URL: http://uadm.uu.se/byggnadsavdelningen/sakerhet/certifikat/ Generering med OpenSSL Här följer ett exempel på hur en nyckel och en CSR för en fiktiv server www.minserver.slu.se kan skapas med OpenSSL (Apache m fl): Kommandot skrivs på en enda rad. openssl req -new -sha1 -newkey rsa:2048 -nodes -subj "/CN=www.minserver.slu.se/OU=Min institution/o=sveriges lantbruksuniversitet/c=se" -keyout www.minserver.slu.se.key - out www.minserver.slu.se.csr För att verifiera innehållet i CSR-filen kan följande kommando användas: openssl req -in www.minserver.slu.se.csr -noout -text I filen www.minserver.slu.se.key finns den privata nyckeln vilken måste hållas hemlig och skyddas mot obehörig åtkomst. I filen www.minserver.slu.se.csr finns den CST som ska kopieras in på websidan för certifikatsbeställning, se nedan. OBS! Om nyckeln har ett lösenord så kan man behöva ange detta varje gång som servern startas och följande OpenSSL-komando kan ta bort nyckeln: openssl rsa -in www.minserver.slu.se.key -out newfilename.key

5(7) Generering med Windows IIS 6.0 Exempel på hur en nyckel och en CSR för en fiktiv server www.minserver.slu.se kan skapas för Microsoft IIS 6.0: Starta Internet Services Manager som finns under Administrative Tools i startmenyn. Ta fram Properties (höger klick) för den site du ska ansöka om certifikat för. Välj fliken Directory Security och klicka Server Certificate. Välj Create a New Certificate och Prepare the Request now, but send it later i wizarden. Ge svar på frågorna om de olika namnkomponenter, se ovan. State/Province (ST) och City/Locality (L) borde utelämnas, men IIS verkar inte tycka om det så något måste fyllas i men det är egealt med vad då dessa fält rensas ut vid själva ansökan. Spara den skapade CSR till en fil, den som ska bifogas ansökan, genom att bekräfta och avsluta wizarden. OBS! Microsoft IIS 6.0 har vid förnyade av certifikat eller om det redan finns ett certifikat som används för siten. När genereringen av CSR så slutar det befintliga att fungera tills man fått och installerat det nya certifikatet! Det finns ett workaround som går ut på att lura systemet genom att skapa en tillfällig site (se URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;q295281) Windows Server 2008 och senare CSR genererade med Windows 2008 använder strängtypen UTF8STRING, vilket tidigare SUNET SCS certifikat inte klarade. I SUNET TCS finns inte denna begränsning kvar. Punkt 3: Skicka in CSR och ansökan via webbformulär Nu är det dags att skicka in CSR-filen och samtidigt fylla i kompletterande information via SUNET TCS sidor för SLU.på URL: https://tcs.sunet.se/apply/slu/ Fyll i: Certificate Request: Kopiera in CSR-filens innehåll i textrutan eller ladda upp den som fil genom att använda Browse... -knappen Certificate valid for: 3 års giltighetstid är förvalt och ändra endast i specialfall. Certificate variant: Välj Server Certificate, om du behöver ett certifikat med organisationsvalidering väljer du istället Server Certificate with organization validation (ASCII). Om du har behov av att få svenska tecken (ÅÄÖ) rätt kan alternativet Unicode väljas.

6(7) Requestor email: Fyll i din e-postadress. Välj Check and update för att kontrolera att certifikatet är korrekt Kontrollera att informationen från CSR-filen syns och är korrekt. Här kan du även lägga till ytterligare namn (Subject Alternative Names) som certifikatet ska validera. Du kan ändra Organizational Unit eller Requestor email om de uppgifterna skulle ha blivit fel. Om du avser att ansöka om fler certifikat under samma session, så kryssa i I will request multiple certificates du får då vissa fällt förifyllda till nästa certifikatsbegäran. När alla certifikat är uppladdade så bockar du i I declare that the above information is correct Klickar på Apply for certificate i övre högra hörnet för att skicka certifikatet för signering. Det är viktigt att alla uppgifter är korrekt ifyllda då vi på SLU CA endast kan godkänna eller avslå begäran om signering. Skulle någon väsentlig uppgift för ett certifikat vara felaktig så tvingas vi avslå ansökan och du måste göra en ny korrekt ansökan. Du kommer som Requestor att få ett e-postmeddelande från SUNET TCS och du behöver en underskriven kopia av detta e-mail som ska bifogas ansökningsblanketten i nästa steg. Flera certifikat på samma ansökan Om du ansöker om flera certifikat med samma Requestor och Sponsor kan du nu göra samma för dessa certifikat innan du går vidare till nästa punkt. Punkt 4: Fyll i blanketten och skicka in SLU CA måste nu godkänna din begäran innan certifikatet signeras av Comodo på vårt ansvar. För att ha möjlighet att kontrollera att allt är OK och för att få spårbarhet kräver vi att du fyller i och skickar in blanketten Ansökan om certifikat från TCS via SLU CA. Uppgifterna om dig som är Requestor ska vara samma som fyllts i på webb formuläret under punkt 3. Kom ihåg att underteckna! Be den som är sponsor (se punkt 1)att fylla i sin del och underteckna. I tabellen under certifikat finns plats för upp till 10 stycken certifikat. Skicka blanketten med internpost till:

7(7) IT-avdelningen Bo Sarling Box 7079 Installation av certifikat i Apache I TLS/SSL-konfigurationen ska följande rader läggas in, med de filnamn som är korrekta i din Apache-miljö: SSLCertificateFile /opt/apache/conf/certs/www.minserver.slu.se.pem SSLCertificateKeyFile /opt/apache/conf/certs/www.minserver.slu.se.key SSLCertificateChainFile /opt/apache/conf/certs/sureserveredu.pem Filen www.minserver.slu.se.pem är det certifikat du fått utfärdat (namnet i epostsvaret från Comodo kan vara annorlunda). Filen www.minserver.slu.se.key är den nyckel-fil du skapade tillsammans med certifikat-begäran ovan. Tänk på att fortsätta skydda den mot obehörig åtkomst! Den som kommer över den här filen kan låtsas vara servern. Filen sureserveredu.pem är CA-certifikatet som du också tankade hem nyligen. Webbservern måste skicka med det också för att användarens webbläsare ska kunna sätta ihop certifikatkedjan. Rot-certifikatet behöver inte konfigureras på något sätt i webbservern. Användaren som ska surfa till webbservern behöver inte heller göra något, eftersom detta certifikat finns med i alla vanliga webbläsare. Om du har frågor angående detta kan du kontakta oss via epost på certificates@slu.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss