...
- Erstellen eines "keypairs"
- Mein fertiges Zertifikat wird vom Browser als ungültig zurückgewiesen. Was kann ich dagegen tun?
- Verwendung des Zertifikats mit Apache HTTP Server
- Verwendung des Zertifikats mit Microsoft IIS
- Internet Explorer weist mein Zertifikat als ungültig zurück, Firefox akzeptiert es aber.Beantragung von TLS-Zertifikaten für Nutzerinnen, die nicht *RAOs sind
Email Zertifikate
...
Allgemein
...
siehe Erstellen des Keypairs.
| Anchor |
|---|
...
|
...
|
...
|
...
Wahrscheinlich haben Sie vergessen, die Intermediate Zertifikate mitzugeben (siehe Verwendung des Zertifikats mit Apache HTTP Server). Es ist essentiell wichtig, dass die beiden Intermediate-Zertifikate am Server mitgelinkt werden.
...
Das ausgestellte Zertifikat müssen Sie mit den sogenannten Intermediate-Zertifikaten in Ihre Applikation einbauen. Beim Apache HTTP Server sieht das beispielsweise folgendermaßen aus:
| Code Block |
|---|
SSLEngine on
SSLCertificateFile /etc/httpd/ssl.crt/certificate.pem
SSLCACertificateFile /etc/httpd/ssl.crt/chain.pem
SSLCertificateKeyFile /etc/httpd/ssl.crt/certificate.key
|
- certificate.pem ist Ihr neu ausgestelltes und unterschriebenes Zertifikat
- chain.pem ist die Datei mit den benötigten Intermediate-Zertifikaten. Die Intermediate-Zertifikate finden sie auf der selben Webseite, wo sie auch ihr Zertifikat abholen. Das Root CA Zertifikat sollte Ihr SSL CLient (Browser, Mailprogramm, etc) bereits kennen und dieses ist daher nur der Vollständigkeit halber angegeben.
- certificate.key ist Ihr anfangs erstelltes Keyfile.
...
Falls das Intermediate Certificate unter Windows IIS nicht mitausgeliefert wird, hat Digicert eine Anleitung dazu verfasst: Digicert Support
...
|
Sie können Personen, die keine Admins im SCM sind, erlauben, Zertifikate anzufordern.
Gehen Sie dazu zu Settings → Organizations, wählen Sie Ihre Organisation aus und klicken sie Edit. (Oder, wenn dies nur für eine Abteilung (Department) gelten soll, verwenden Sie nach der Auswahl der Organisation die Schaltfläche Departments, wählen Sie die Abteilung aus und klicken Sie stattdessen Edit).
Haken Sie auf der Registerkarte SSL-Certificate Self Enrollment an und geben Sie einen selbst gewählten Access Code ein und kopieren Sie die unter diesem Feld angezeigte URL.
Sie können diese URL nun an Personen weitergeben, die sie zusammen mit dem Access Code verwenden können, um auf die 'Certificate Enrollment' Seite für Nicht-Administratoren zuzugreifen. Der Domain-Teil der angegebenen E-Mail Adresse muss dabei einer validierten Domain in der entsprechenden Organisation entsprechen, ansonsten wird der Zugriff verweigert.
Falls sie Teilnehmer an der ACOnet Identity Federation sind und einen dementsprechenden IdP betreiben, können Sie auch Self Enrollment via SAML aktivieren und die URL unter dem Feld Token an die Benutzer aushändigen (den oben gewählten Access Code können sie dann geheim halten). Nutzerinnen müssen sich dann bei ihrem IdP authentifizieren, bevor sie zu der gleichen 'Certificate Enrollment' Seite wie oben kommen. Der Domain-Teil der E-Mail-Adresse, die von ihrem IdP mitgeschickt wird, muss dabei einer validierten Domain in der entsprechenden Organisation entsprechen, ansonsten wird der Zugriff verweigert.
| Info | ||
|---|---|---|
| ||
| Aktivieren Sie nicht die Option Automatically Approve Self Enrollment Requests, da sie Zertifikatsanfragen, die über diesen Weg eintreffen, manuell genehmigen werden wollen. |