umu logga

Certifikatutfärdande vid Umeå universitet

Certifikat via SUNET TCS Server

Umeå universitet är medlem i SUNET TCS (som i sin tur är medlem i Géant) vilket innebär att det är möjligt att utan kostnad få tillgång till servercertifikat där utfärdarens certifikat finns i de flesta webbläsare, e-postprogram och operativsystem. Dessa certifikat kan bland annat användas för att identifiera webbservrar och kryptera trafiken mellan webbserver och webbläsare. Att rotcertifikatet är förinstallerat medför att det s.k. popup-problemet inte uppstår.

Frågor kring Umeå universitets certifikatshantering ställs till: tcs@umu.se

Varför använda certifikat?

Ett utfärdat certifikat intygar att ett dokument, en webbsida eller något annat tillhör en viss person, en viss dator, ett visst företag, en viss myndighet, en viss organisation eller liknande. Certifikatet innehåller bl.a. innehavarens namn, serienummer, giltighetstid, en kontrollsiffra samt utfärdarens namn och digitala signatur.

Utfärdarens digitala signatur kan liknas vid ett introduktionsbrev, där utfärdaren garanterar att innehavaren av certifikatet är den han utger sig för att vara. Utfärdaren har kontrollerat innehavaren enligt vissa bestämda regler, som ska vara väl dokumenterade och offentligt tillgängliga. Eftersom de utfärdade certifikatens tillförlitlighet hör samman med utfärdarens pålitlighet är det viktigt att utfärdaren följer gällande regler.

Certifikatstyper TCS server

Certifikatsutfärdaren för servercertifikat är fr.o.m den 1/7 2015 är DigiCert Inc. Innan en institution, eller motsvarande, kan få certifikat för sina IT-tjänster måste en till två personer vid institutionen bli inlagda i Digicerts administrativa system med rättigheten att ansöka om certifikat. Du som individ måste via särskild blankett begära detta, se Komma igång med TCS Server för mer information.

Géant föreslår att något av följande typer av servercertifikat används:

  • SSL Certificate - Multi-Domain SSL (f.d. Unified Communications)
    • Standardcertifikat för de flesta webbtjänster och andra tjänster som behöver certifikat.
    • Maximal giltighetstid är tre år.
    • Innehåller ett primärt tjänstenamn med möjlighet till multipla tjänste- och servernamn i certifikatet.
  • SSL Certificate - WildCard Plus
    • Samma som Multi-Domain SSL men det är möjligt att använda wildcard i tjänstenamn tillsammans med domännamnet för tjänsten, t.ex. *.tjanst.umu.se resp. tjanst.umu.se.
    • Observera att Wildcard Plus inte får användas för institutionsdomäner utan endast för tjänstedomäner.
  • SSL Certificate - EV Multi-Domain
    • Gör adressfältet grönt i de flesta webbläsarna.
    • Får endast användas för att skydda universitetets viktigaste publika webbtjänster och måste godkännas av universitetets IT-chef innan utfärdande.
    • Tar längre tid att handlägga.
    • Maximal giltighetstid är två år.
    • Innehåller ett primärt tjänstenamn med möjlighet till multipla tjänste- och servernamn i certifikatet.
  • Grid Certificates - Grid Host SSL UC
    • Får endast användas för gridtjänster.
    • All text i certifikatet får endast innehålla ASCII-tecken, dvs. inte å, ä, ö, osv.
    • Maximal giltighetstid är tre år.
    • Innehåller ett primärt tjänstenamn med möjlighet till multipla tjänste- och servernamn i certifikatet.

Det finns även andra certifikatstyper som erbjuds av DigiCert, men som är mer begränsade i sin användning. De certifikaten är avsedda för DigiCerts kunder som endast köper enstaka certifikat. Rekommendationen är alltså att inte använda dessa certifikatstyper, vilka är:
  • SSL Certificate - SSL Plus
    • Samma som Multi-Domain SSL men begränsat till ett tjänste- eller servernamn.
  • SSL Certificate - EV SSL Plus
    • Samma som EV Multi-Domain men begränsat till ett tjänste- eller servernamn.
  • Grid Certificates - Grid Host SSL
    • Samma som Grid Certificates - Grid Host SSL UC men begränsat till ett servernamn


föreslagna certifkatstyper

Ansöka om servercertifikat via TCS Server

Umeå universitets TCS Server utfärdar certifikat till verksamheter som är en del av utbildningsmyndigheten Umeå universitet samt då tjänstens DNS-namn är registrerat på Umeå universitet, t ex www.umu.se samt till DNS-namn under domänen ladok.se.

De certifikat som kan utfärdas beskrivs ovan. Normalt sett ska certifikatstypen Multi-Domain SSL användas men i vissa fall används Wildcard Plus och Grid Host SSL UC. Däremot utfärdas inte certifikat av typerna EV Multi-Domain och EV SSL Plus utan särskilt beslut av universitetets IT-chef.

Innan en institution, eller motsvarande, kan få certifikat för sina IT-tjänster måste en till två personer vid institutionen bli inlagda i Digicerts administrativa system med rättigheten att ansöka om certifikat. Du som individ måste via särskild blankett begära detta, se Komma igång för mer information.

Komma igång med TCS Server

För att kunna ansöka om certifikat från TCS Server måste du:

  1. Ansöka om behörighet via denna behörighetsblankett.
    • De uppgifter du behöver när du fyller i blanketten är:
      • ditt namn
      • din primära e-postadress
      • vid vilken institution du är verksam vid
      • vilken/vilka DNS-domän(er) du har rätt att begära certifikat för.
        Normalt på formen: .<institution>.umu.se
    • Du och prefekt för aktuella domäner ska sedan skriva under blanketten innan den skickas till TCS vid ITS, Driftenheten.

  2. Aktivera ditt användarkonto på Digicert efter att du fått ett aktiveringsbrev via e-post.
    (Aktiveringen av DigiCert-kontot måste göras av användaren ett dygn från brevets ankomst. Om du inte hinner använda länken inom ett dygn, använder du istället DigiCerts funktion för att återställa ett glömt lösenord).

  3. Nu är du klar att ansöka om certifikat.

Rutin för att ansöka om certifikat

  1. Skapa en certifikatsbegäran via en s.k. CSR-fil (en. Certificate Signing Request). För att få hjälp med hur du gör detta finns hjälp hos DigiCert supportsidor.
    Särskilt att tänka på när du skapar certifikatsbegäran:
    • Använd gärna DigiCerts certifikatsgenereringsverktyg!
    • Krypteringsnyckelns längd (antal bitar) måste minst vara 2048 (bitar).
    • Fältet Common Name (alt. CN) skall vara tjänstenamnet,
      t.ex. www.<tjänst>.<institution>.umu.se.
      Om tjänsten har flera DNS-adresser, t.ex. www.umu.se och portal.umu.se, läggs det primära namnet i Common Name och övriga namn i Subject Alternative Names.
      Det är möjligt att ange flera namn vid ansökan, antingen vid skapande av CSR-fil eller i webbsystemet, om du väljer certifikatstypen Multi-Domain SSL.
    • Fältet Organisation (alt. O) skall alltid vara Umeå universitet.
    • Fältet Department (alt. OU eller Organization Unit) skall antingen lämnas blankt eller vara institutionens svenska namn enligt Personalkatalogen. För gemensamma tjänster/system, t.ex. www.umu.se, direkt under gemensamma domäner, t.ex. umu.se, skall OU om möjligt lämnas tomt eller annars anges som Universitetsforvaltningen.
    • Fältet City (alt. L eller Locality) skall om möjligt lämnas blankt eller annars vara Umeå.
    • State (alt. ST eller Province) skall om möjligt lämnas tomt eller annars vara Västerbotten.
    • Country (alt. C) ska antingen anges som Sweden eller SE. Den senare om det står att tvåbokstavsförkortning skall användas.
    • Email Address (alt. mail) skall om möjligt lämnas tomt eller annars vara en giltig adress för tjänsten.

  2. Om du inte själv har en användare i DigiCerts webbsystem skickar du CSR-filen till den vid institutionen som har en sådan användare.

  3. Logga in i DigiCerts webbsystem och välj Orders -> Request a Certificate.

  4. Välj vilken certifikatstyp du ansöker om, i normalfallet Multi-Domain SSL, välj därefter Order Now.
    Observera att för EV Multi-Domain och EV SSL Plus krävs särskilt beslut av universitetet IT-chef. För EV-certifikat krävs det också en motivering för att just detta certifikat ska användas. Skicka ett mail till tcs@umu.se som hänvisar till ärendenummer i DigiCerts system tillsammans med motiveringen.

  5. Klistra in CSR-filen som skapades under 1 i fältet under rubriken Paste your CSR.

  6. Kontrollera att alla uppgifter stämmer efter att CSR-filen bearbetats efter inklistrandet. Om tjänsten har flera tjänstenamn kan du komplettera under Other Hostnames (SANs).

  7. När du är klar väljer du vilken typ av server du använder, skriver in en kommentar om certifikatsförfrågan som de som godkänner ansökan kan ha nytta av och trycker på knappen Submit Certificate Request.

  8. Följ därefter instruktionerna tills certifikatsansökan är inskickad.

  9. Vänta nu på att få certifikatsansökan är godkänd. När den är godkänd kommer ett e-post med certifikatet bifogat i en zip-fil. Zip-filen (arkivfilen) innehåller certifikatet, aktuella CA-certifikat samt en instruktion om hur du gör för att installera certifikatet korrekt i servern.
    Vi rekommenderar starkt att ni inte använder denna postade zip-fil, utan istället loggar in på DigiCerts portal och där laddar ner en ny kopia av .zip-filen.

Sidansvarig: Sören Berglund
2015-06-25