Certifikat-begäran (SCS-certifikat)

OBS! SCS-certifikaten upphör att gälla efter mars 2010. Ansök istället om TCS-certifikat

Den här rutinen gäller certifikat utfärdade genom SCS, inte SwUPKI. Se den allmänna sidan om certifikatbegäran för information om varför du ska välja SCS eller SwUPKI.

Punkt 1: Förbered dig

Se till att vara ute i god tid. Certifikat utfärdas normalt inom en vecka. Om du behöver certifikatet snabbare än så bör du kontakta oss i förväg för att kontrollera att det går.

Det finns ett antal begränsningar för vilka certifikat som kan utfärdas genom SCS. De viktigaste är:

• Certifikat får bara användas för icke-kommersiell verksamhet.
• Certifikat får bara utfärdas till verksamheter som är en del av myndigheten Linköpings universitet.
• Certifikat får bara utfärdas för servrar vars DNS-namn slutar med .liu.se.
• SCS är till för att utfärda servercertifikat för TLS/SSL. Vi har begränsade möjligheter att påverka certifikatprofilen (innehållet i certifikatet).

Vid tveksamhet, kontakta oss för att diskutera läget.

Den person som genererar certifikatbegäran på den tekniska nivån och fyller i webbforumuläret kallas i detta sammanhang Technical Contact.

En behörig person på institutionen eller motsvarande måste intyga att begäran är korrekt. I SwUPKI-sammanhang används begreppet Sponsor för den personen, och vi återanvänder det begreppet här. Från början är sponsor prefekt, enhetschef eller motsvarande. På dokument-sidan finns en blankett för delegering av sponsorskap, ifall det är smidigare. Samma delegering gäller för både SwUPKI och SCS.

Punkt 2: Skapa nyckel och certifikatbegäran (CSR)

Innan du kan ansöka om certifikat måste du skapa en privat nyckel och en fil med certifikatbegäran (CSR, Certificate Signing Request) i så kallat PKCS#10-format för varje certifikat.

Se till att nyckeln skyddas mot obehörig åtkomst. Det är också en god idé att ordna en säkerhetskopia av den (som då också måste hållas skyddad).

Krav

Nyckellängenden får inte vara mindre än 1024 bitar. Vi rekommenderar nyckellängden 2048 bitar. Följande krav gäller för namnkomponenterna i certifikatet:

Namnkomponent	Krav	Exempel
Common Name (CN)	Ska vara serverns DNS-namn.	www.ife.liu.se
Organizational Unit (OU)	Ska vara institutionens eller enhetens förkortning eller fullständiga namn. Vi låtsas i det här exemplet att certifikatet hör till IFE, Institutionen för Exempel.	IFE
Organization (O)	Ska vara Linkopings universitet.	Linkopings universitet
City/Locality (L)	Ska utelämnas helt om möjligt (inte bara vara tom). Om den måste anges ska den vara Linkoping eller Norrkoping.	utelämnad
State/Province (ST)	Ska utelämnas helt om möjligt (inte bara vara tom). Om den måste anges ska den vara Ostergotland.	utelämnad
Country (C)	Ska vara SE.	SE

Instruktioner för OpenSSL (Apache med flera)

Så här kan en nyckel och en CSR för www.ife.liu.se, WWW-server för den fiktiva institutionen IFE, genereras (kommandot skrivs på en enda rad):

openssl req -new -sha1 -newkey rsa:2048 -nodes -subj "/CN=www.ife.liu.se/OU=IFE/O=Linkopings universitet/C=SE" -keyout www.ife.liu.se.key -out www.ife.liu.se.csr

Om OpenSSL är av för gammal version fungerar inte -subj. Du får i så fall felmeddelandet unknown option -subj och en hjälptext. Se då instruktioner för gammal OpenSSL.

I filen www.ife.liu.se.key hamnar den privata nyckeln. Denna måste hållas hemlig och skyddas mot obehörig åtkomst. I filen www.ife.liu.se.csr hamnar den CSR som ska bifogas ansökningsblanketten. Det är praktiskt att döpa CSR- och nyckel-filerna till namn som är baserade på certifikatets CN, särskilt om du ansöker om flera certifikat åt gången.

För att verifiera innehållet i CSR-filen kan följande kommando användas:

openssl req -in www.ife.liu.se.csr -noout -text

Instruktioner för Microsoft IIS 6.0

Starta Internet Services Manager som finns under Administrative Tools i startmenyn. Ta fram Properties (högerklick) för den site du ska ansöka om certifikat för.

Välj fliken Directory Security och klicka på Server Certificate. Välj Create a new Certificate och Prepare the request now, but send it later i wizarden.

Ge rätt svar på frågorna om de olika namnkomponenterna. Se tabellen med krav ovan! State/province och City/locality borde utelämnas, men IIS verkar inte gilla det. Fyll i Ostergotland respektive Linkoping eller Norrkoping.

Sedan är det dags att spara CSR till fil. Det är denna fil du ska bifoga ansökan. Bekräfta och avsluta wizarden.

OBS! Microsoft IIS 6.0 har problem vid förnyande av certifikat eller ansökan om certifikat ifall det redan finns ett certifikat i drift för siten! När du genererar CSR, så upphör det existerande certifikatet att fungera och det blir inte bra igen förrän du fått det nya certifikatet. Det finns ett sätt att "lura" systemet genom att skapa en tillfällig site. Se Microsofts instruktioner.

Windows 2008

2008-05-30: Certifikatbegäran genererade med Windows 2008 använder en strängtyp (UTF8STRING) som GlobalSigns certifikattillverkningssystem inte klarar av. Tillsvidare ber vi er generera nyckel/certifikatbegäran på Windows 2003 (eller med OpenSSL), "ta emot" certifikatet där också, och sedan exportera nyckel + certifikat för att importera på Windows 2008-systemet.

Punkt 3: Skicka in via WWW

Nu är det dags att skicka in CSR-filen och samtidigt fylla i kompletterande information på GlobalSigns sida för SUNET SCS. Din webbläsare behöver ha Javascript aktiverat för att det ska fungera.

Sidan "STEP 1: SUBMIT CERTIFICATE SIGNING REQUEST"

• Välj 3 års giltighetstid under No. Years.
• Välj certifikattypen SureServerEDU TLS om du inte diskuterat annat med oss. Du ska inte välja varianten "emailserver" bara för att certifikatet ska användas av en server som hanterar epost.
• Tala om vilken slags webbserver eller liknande du ska använda certifikatet till. Välj Apache-ModSSL om du inte vet vad du ska välja.
• Ladda upp CSR-filen med filuppladdningsrutan eller klipp in filinnehållet i textboxen till vänster.
• Välj att gå vidare till nästa steg.
• Kontrollera att informationen från CSR-filen nu visas och är korrekt (gör om annars).
• Välj att gå vidare till nästa steg.

Sidan "STEP 2: ENTER INFORMATION"

Fyll i formuläret enligt:

Fält	Innehåll	Exempel
Technical Contact
Surname	Ditt eget efternamn	Exempelsson
First Name	Ditt eget förnamn	Anders
Function	Din roll	system administrator
Organization	Förifyllt från CSR, lämna exakt:	Linkopings universitet
Phone number	Ditt eget telefonnummer	+46 13 281744
Email	Din egen epostadress	anders.exempelsson@liu.se
Organisation Information
Admin Contact Person	Fyll i exakt:	LiU CA
Email	Fyll i exakt:	sunet-scs@liu.se
Organization	Förifyllt från CSR, lämna exakt:	Linkopings universitet
Street & number	Fyll i exakt:	UNIT, G-huset
Zip/Post Code	Fyll i exakt:	581 83
City	Fyll i exakt:	LINKÖPING
Country	Förifyllt från CSR, lämna exakt:	SE
Phone number	Fyll i exakt:	+46 13 281000
Password and Password Hint
Your password	Ett lösenord du inte använder till annat
Again for verification	Samma lösenord igen, såklart
Your password hint	Minneshjälp för lösenordet ovan

 

Välj sedan att gå vidare till nästa steg.

Sidan "STEP 3: CONFIRM INFORMATION"

Kontroller att information är korrekt. Om så är fallet: välj att bekräfta och gå vidare.

En sida med rubriken "We are processing your request" visas. När behandlingen är klar ersätts den av en sida med rubriken "Thank you for your certificate order."

Du kommer också som Technical Contact att få en kopia av det epostbrev som vi centralt får till LiU CA med instruktioner om hur vi ska gå vidare. Du som är Technical Contact ska inte följa instruktionerna i brevet. Däremot ska du skriva ut brevet i samband med punkt 4.

Ansökan om många certifikat vid samma tillfälle

Om du ansöker om flera certifikat för exakt samma Technical Contact och Sponsor kan du nu göra om punkt 2 och 3 för dessa certifikat innan du går vidare med punkt 4.

Tröttnar du på att fylla i samma information gång på gång i webbformuläret? Använd en utökning till din webbläsare som hjälper dig att fylla i formuläret automatiskt. Ett exempel för Mozilla Firefox är AutoFormer.

Punkt 4: Fyll i blankett och skicka in

LiU CA måste nu godkänna din begäran innan certifikatet tillverkas av GlobalSign på vårt ansvar. För att ha möjlighet att kontrollera att allt är OK och för att få spårbarhet kräver vi att du fyller i och skickar in en enkel blankett.

Ladda hem Ansökan om certifikat från SCS via Linköpings univeritet CA och fyll i.

Uppgifterna om dig som är Technical Contact ska vara samma som fyllts i på webbformuläret under punkt 3. Kom ihåg att underteckna! Be den som är Sponsor (se punkt 1) att fylla i sin del och att underteckna.

I tabellen under Certifikat finns plats för upp till tio olika certifikat. Fyll för varje certifikat i:

• Common Name (CN) precis som det står i CSR-filen du skapade vid punkt 2.
• Request order number som du får i din kopia av bekräftelse-eposten när punkt 3 är klart.

Skriv ut och bifoga bekräftelse-epost för varje certifikat. Det räcker med den del som börjar med texten "Details of request order" (ifall du se till att varje certifikat får plats på en sida). Skriv inte ut mer än ett brev per sida. Både Technical Contact och Sponsor ska sätta sin underskrift på varje sida.

Skicka blanketten och bilagorna med internpost till:

LiU CA c/o Bo Kleve
UNIT G-huset

Punkt 5: Vänta

Nu får du vänta ett tag medan LiU CA och senare SUNET SCS RA-gruppen tar hand om ansökan. Du kan komma att bli kontaktad för verifikation av ansökan.

Certifikat utfärdas normalt inom en vecka. Om det är mer bråttom än så behöver du meddela oss det, så gör vi vad vi kan för att skynda på. Kontakta oss också om certifikatet dröjer.

Punkt 6: Ta emot och installera certifikat

När certifikatet är klart får du som är Technical Contact epost från GlobalSign med ärendet "Your SureServerEDU TLS Certificate" (eller motsvarande). Certifikatet som sådant finns bifogat i brevet, som också innehåller en länk där det kan hämtas.

Du behöver också hämta hem och spara CA-certifikatet för "Cybertrust Educational CA": sureserverEDU.pem.

Instruktioner för Apache

I TLS/SSL-konfigurationen ska följande rader läggas in, med de filnamn som är korrekta i din Apache-miljö:

SSLCertificateFile      /opt/apache/conf/certs/www.ife.liu.se.pem
SSLCertificateKeyFile   /opt/apache/conf/certs/www.ife.liu.se.key
SSLCertificateChainFile /opt/apache/conf/certs/sureserverEDU.pem

Filen www.ife.liu.se.pem är det certifikat du fått utfärdat (namnet i epostsvaret från GlobalSign är annorlunda).

Filen www.ife.liu.se.key är den nyckel-fil du skapade tillsammans med certifikat-begäran vid punkt 2. Tänk på att fortsätta skydda den mot obehörig åtkomst! Den som kommer över den här filen kan låtsas vara servern.

Filen sureserverEDU.pem är CA-certifikatet som du också tankade hem nyligen. Webbservern måste skicka med det också för att användarens webbläsare ska kunna sätta ihop certifikatkedjan.

Rot-certikatet "GTE CyberTrust Global Root" behöver inte konfigureras på något sätt i webbservern. Användaren som ska surfa till webbservern behöver inte heller göra något, eftersom detta certifikat finns med i alla vanliga webbläsare.

Instruktioner för Microsoft IIS 6.0

Starta Internet Services Manager som finns under Administrative Tools i startmenyn. Ta fram Properties (högerklick) för den site du har ansökt om certifikat för.

Välj fliken Directory Security och klicka på Server Certificate. Välj Process the Pending Request and Install the Certificate i wizarden och ange filnamnet till certifikatet du fått i eposten. Se till att rätt port (normalt 443) är vald. Bekräfta och avsluta.

För att allt ska fungera korrekt måste även CA-certifikatet för Cybertrust Educational CA installeras via MMC (Microsoft Management Console). Starta det verktyget via Run i startmenyn; ange programnamn mmc.

I MMC, välj Console - Add/Remove Snap-in. Klicka Add, markera Certificates och klicka Add. Välj sedan Computer account och i nästa ruta Local computer (the computer this console is running on). Avsluta tilläggsdialogen med Finish, Close och OK.

Välj Certificates i vänsterspalten och dubbelklicka sedan på Intermediate Certification Authorities i högerspalten. Högerklicka vid Certificates i högerspalten och välj All Tasks - Import i menyn. Vid frågan File to Import anges filen sureserverEDU.pem som du tankade hem nyligen. Avsluta med Next och Finish.

Avsluta med att starta om IIS.

OBS! Microsoft IIS 6.0 har problem vid förnyande av certifikat! Om du under punkt 2 följde Microsofts instruktioner för att ta dig förbi den begränsningen så måste du avsluta enligt dessa instruktioner också (importera certifikatet till den tillfälliga siten och sedan ta det i drift i den riktiga).

Punkt 7: Kontrollera

Kontrollera att certifikatet fungerar. Om det används i en webbserver ska du kunna surfa till den HTTPS-URL som skyddas av certifikatet. Din webbläsare ska inte klaga på något som rör certifikatet. Kontakta LiU CA om du har problem med att få det att fungera.