|
Certifikatutfärdande
vid Umeå universitet
Certifikat via SUNET TCS Server
Umeå universitet är medlem i SUNET TCS (som i
sin tur är medlem i Géant)
vilket innebär att det är möjligt att utan kostnad få
tillgång till servercertifikat där utfärdarens
certifikat finns i de flesta webbläsare, e-postprogram
och operativsystem. Dessa certifikat kan bland annat
användas för att identifiera webbservrar och kryptera
trafiken mellan webbserver och webbläsare. Att
rotcertifikatet är förinstallerat medför att det s.k.
popup-problemet inte uppstår.
Frågor
kring Umeå universitets certifikatshantering ställs
till: tcs@umu.se
Varför använda certifikat?
Ett utfärdat certifikat intygar att
ett dokument, en webbsida eller något annat tillhör en
viss person, en viss dator, ett visst företag, en viss
myndighet, en viss organisation eller liknande.
Certifikatet innehåller bl.a. innehavarens namn,
serienummer, giltighetstid, en kontrollsiffra samt
utfärdarens namn och digitala signatur.
Utfärdarens
digitala signatur kan liknas vid ett introduktionsbrev,
där utfärdaren garanterar att innehavaren av certifikatet
är den han utger sig för att vara. Utfärdaren har
kontrollerat innehavaren enligt vissa bestämda regler, som
ska vara väl dokumenterade och offentligt tillgängliga.
Eftersom de utfärdade certifikatens tillförlitlighet hör
samman med utfärdarens pålitlighet är det viktigt att
utfärdaren följer gällande regler.
Certifikatstyper TCS
server
Certifikatsutfärdaren för
servercertifikat är fr.o.m den 1/7 2015 är DigiCert Inc.
Innan en institution, eller
motsvarande, kan få certifikat för sina
IT-tjänster måste en till två personer vid institutionen
bli inlagda i Digicerts administrativa system med
rättigheten att ansöka om
certifikat. Du som individ måste via särskild
blankett begära detta, se Komma igång
med TCS Server för mer information.
Géant
föreslår att något av följande typer av servercertifikat
används:
- SSL Certificate -
Multi-Domain SSL (f.d. Unified Communications)
- Standardcertifikat för de
flesta webbtjänster och andra tjänster som behöver
certifikat.
- Maximal giltighetstid är tre
år.
- Innehåller ett primärt
tjänstenamn med möjlighet till multipla tjänste-
och servernamn i certifikatet.
- SSL Certificate - WildCard
Plus
- Samma som Multi-Domain SSL
men det är möjligt att använda wildcard i
tjänstenamn tillsammans med domännamnet för
tjänsten, t.ex. *.tjanst.umu.se resp.
tjanst.umu.se.
- Observera att Wildcard Plus
inte får användas för institutionsdomäner utan
endast för tjänstedomäner.
- SSL Certificate - EV
Multi-Domain
- Gör adressfältet grönt i de
flesta webbläsarna.
- Får endast användas för att
skydda universitetets viktigaste publika
webbtjänster och måste godkännas av universitetets
IT-chef innan utfärdande.
- Tar längre tid att handlägga.
- Maximal giltighetstid är två
år.
- Innehåller ett primärt
tjänstenamn med möjlighet till multipla tjänste-
och servernamn i certifikatet.
- Grid Certificates - Grid Host SSL
UC
- Får endast användas för
gridtjänster.
- All text i certifikatet får
endast innehålla ASCII-tecken, dvs. inte å, ä, ö,
osv.
- Maximal giltighetstid är tre
år.
- Innehåller ett primärt
tjänstenamn med möjlighet till multipla tjänste-
och servernamn i certifikatet.
Det finns även andra certifikatstyper
som erbjuds av DigiCert, men som är mer begränsade i sin användning. De
certifikaten är avsedda för DigiCerts kunder som endast
köper enstaka certifikat. Rekommendationen är alltså att
inte använda dessa certifikatstyper, vilka är:
- SSL Certificate - SSL Plus
- Samma som Multi-Domain SSL
men begränsat till ett tjänste- eller servernamn.
- SSL Certificate - EV SSL
Plus
- Samma som EV Multi-Domain men
begränsat till ett tjänste- eller servernamn.
- Grid Certificates - Grid
Host SSL
- Samma som Grid
Certificates - Grid Host SSL UC men begränsat
till ett servernamn
Ansöka om
servercertifikat via TCS Server
Umeå universitets TCS Server
utfärdar certifikat till verksamheter som är en del av
utbildningsmyndigheten Umeå universitet samt då
tjänstens DNS-namn är registrerat på Umeå universitet,
t ex www.umu.se samt till DNS-namn under domänen
ladok.se.
De certifikat som kan utfärdas beskrivs
ovan. Normalt sett ska certifikatstypen
Multi-Domain SSL användas men i vissa fall används
Wildcard Plus och Grid Host SSL UC. Däremot utfärdas
inte certifikat av typerna EV Multi-Domain och EV
SSL Plus utan särskilt beslut av universitetets IT-chef.
Innan en institution, eller
motsvarande, kan få certifikat för sina
IT-tjänster måste en till två personer vid institutionen
bli inlagda i Digicerts administrativa system med
rättigheten att ansöka om certifikat. Du som individ
måste via särskild blankett begära detta, se Komma igång
för mer information.
Komma igång med TCS Server
För att kunna ansöka om certifikat
från TCS Server måste du:
- Ansöka om behörighet via denna behörighetsblankett.
- De uppgifter du behöver när
du fyller i blanketten är:
- ditt namn
- din primära e-postadress
- vid vilken institution du
är verksam vid
- vilken/vilka
DNS-domän(er) du har rätt att begära
certifikat för.
Normalt på formen: .<institution>.umu.se
- Du och prefekt för aktuella
domäner ska sedan skriva under blanketten innan
den skickas till TCS vid ITS, Driftenheten.
- Aktivera ditt användarkonto på
Digicert efter att du fått ett aktiveringsbrev via
e-post.
(Aktiveringen av DigiCert-kontot måste göras av
användaren ett dygn från brevets ankomst. Om du inte
hinner använda länken inom ett dygn, använder du
istället DigiCerts
funktion för att återställa ett glömt lösenord).
- Nu är du klar att ansöka om certifikat.
Rutin för att ansöka om certifikat
- Skapa en certifikatsbegäran via
en s.k. CSR-fil (en. Certificate Signing Request).
För att få hjälp med hur du gör detta finns
hjälp hos DigiCert supportsidor.
Särskilt att tänka på när du skapar
certifikatsbegäran:
- Använd gärna DigiCerts
certifikatsgenereringsverktyg!
- Krypteringsnyckelns längd
(antal bitar) måste minst vara 2048 (bitar).
- Fältet Common Name (alt. CN)
skall vara tjänstenamnet,
t.ex. www.<tjänst>.<institution>.umu.se.
Om tjänsten har flera DNS-adresser, t.ex.
www.umu.se och portal.umu.se,
läggs det primära namnet i Common Name och övriga
namn i Subject Alternative Names.
Det är möjligt att ange flera namn vid ansökan,
antingen vid skapande av CSR-fil eller i
webbsystemet, om du väljer certifikatstypen
Multi-Domain SSL.
- Fältet Organisation (alt.
O) skall alltid vara Umeå universitet.
- Fältet Department (alt. OU
eller Organization Unit) skall antingen lämnas
blankt eller vara institutionens svenska namn
enligt Personalkatalogen.
För gemensamma tjänster/system, t.ex. www.umu.se,
direkt under gemensamma domäner, t.ex. umu.se,
skall OU om möjligt lämnas tomt eller annars anges
som Universitetsforvaltningen.
- Fältet City (alt. L
eller Locality) skall om möjligt lämnas blankt
eller annars vara Umeå.
- State (alt. ST eller
Province) skall om möjligt lämnas tomt eller
annars vara Västerbotten.
- Country (alt. C)
ska antingen anges som Sweden eller
SE. Den senare om det står att
tvåbokstavsförkortning skall användas.
- Email Address (alt.
mail) skall om möjligt lämnas tomt eller annars
vara en giltig adress för tjänsten.
- Om du inte själv har en användare
i DigiCerts webbsystem skickar du CSR-filen till den
vid institutionen som har en sådan användare.
- Logga in i DigiCerts webbsystem
och välj Orders -> Request a
Certificate.
- Välj vilken certifikatstyp du
ansöker om, i normalfallet Multi-Domain SSL,
välj därefter Order Now.
Observera att för EV Multi-Domain och EV SSL Plus
krävs särskilt beslut av universitetet IT-chef. För
EV-certifikat krävs det också en motivering för att
just detta certifikat ska användas. Skicka ett mail
till tcs@umu.se som
hänvisar till ärendenummer i DigiCerts system
tillsammans med motiveringen.
- Klistra in CSR-filen som skapades
under 1 i fältet under rubriken Paste your CSR.
- Kontrollera att alla uppgifter
stämmer efter att CSR-filen bearbetats efter
inklistrandet. Om tjänsten har flera tjänstenamn kan
du komplettera under Other Hostnames (SANs).
- När du är klar väljer du vilken
typ av server du använder, skriver in en kommentar om
certifikatsförfrågan som de som godkänner ansökan kan
ha nytta av och trycker på knappen Submit
Certificate Request.
- Följ därefter instruktionerna
tills certifikatsansökan är inskickad.
- Vänta nu på att få
certifikatsansökan är godkänd. När den är godkänd
kommer ett e-post med certifikatet bifogat i en
zip-fil. Zip-filen (arkivfilen) innehåller
certifikatet, aktuella CA-certifikat samt en
instruktion om hur du gör för att
installera certifikatet korrekt i servern.
Vi rekommenderar starkt att ni inte använder denna
postade zip-fil, utan istället loggar in på DigiCerts
portal och där laddar ner en ny kopia av .zip-filen.
|
|