Sehr geehrte ACOnet-Teilnehmer! Nachdem wir nun alles beisammen haben, können wir (endlich) damit beginnen, SSL Zertifikate auszustellen. Grundsätzlich basiert das Service auf einem Vertrag zwischen der belgischen Firma Globalsign (http://www.globalsign.net/) und TERENA, dem ACOnet (neben 7 weiteren Europäischen Wissenschaftsnetzen) beigetreten ist. (siehe dazu auch http://www.terena.nl/activities/tf-emc2/scs.html). Für Zertifikate, die auf diesem Weg ausgestellt werden, fallen für den Endbenutzer keine Kosten pro Zertifikat an. Um ein Zertifikat zu bekommen sind folgende Schritte notwendig: 1. PREREGISTRATION ================== Zuallererst muss vom ACOnet Teilnehmer ein Zusatz zur ACOnet-Vereinbarung unterzeichnet werden, der einige Informationen enthält, die für dieses Projekt notwendig sind (zu finden ist diese Vereinbarung unter http://www.aco.net/certificates.pdf): - Die Zusatzvereinbarung muss von jemandem unterschrieben sein, der für den Teilnehmer eine rechtsgültige Unterschriften leisten darf. (ZID Leiter, Vereinsvorstand, Geschäftsführer, ...) - Der Teilnehmer muss einen rechtsgültigen Nachweis seiner Existenz erbringen (Vereinsregisterauszug, Gründungsurkunde, ....). Lediglich für die 21 Universitäten im UG2002 kann dieser Nachweis entfallen, da das Gesetz in diesem Fall für Globalsign ausreichend ist. - Die Domains, für die der Teilnehmer in Zukunft Zertifikate benötigt, müssen angegeben werden. (Dies schließt dann natürlich auch alle Subdomains beliebiger Tiefe ein). Voraussetzung ist allerdings, dass die Domain tatsächlich auf den ACOnet-Teilnehmer (die Uni, den Verein, ...) registriert ist. Domains, die zum Beispiel auf Mitarbeiter persönlich registriert sind, können über dieses Service keine Zertifikate beziehen. - Die Proxys, die in diesem Dokument angegeben werden sind jene Personen, die die Richtigkeit eines Zertifikatantrages gegenüber uns (mit Unterschrift) bestätigen. Von diesen Proxys brauchen wir für die "Akten" auch eine Kopie eines Lichtbildausweises. - Änderungen der in der Vereinbarung aufgelisteten Daten (Domains, Proxys) müssen uns umgehend mitgeteilt werden (durch Ausfüllen einer neuen Zusatzvereinbarung) Nachdem das erledigt ist, das ganze an uns per Post (Zentraler Informatikdienst, Universitätsstrasse 7, 1010 wien) senden. Sobald wir die Angaben (Domains, ...) überprüft und in unsere Datenbank eingetragen haben, können die Zertifikate für den Teilnehmer ausgestellt werden. 2. ZERTIFIKATSAUSSTELLUNG ========================= Die CSRs (Certificate Signing Requests) werden über das Webportal von Globalsign in das System eingebracht: https://www.globalsign.net/ra/terena/aconet/edu.cfm - Das Standardprodukt ist 'SureServerEDU TLS'; die Laufzeit kann bis zu 3 Jahre betragen. (Hier noch ein Hinweis eines Kollegen (da es im Moment offenbar noch einen Bug in dem Interface gibt): sollte die Website Fehler wie "Invalid Email field" etc. ausgeben, von vorne beginnen und zuerst den CSR ins Textfeld kopieren und erst danach die Optionen auswählen (3 Jahre etc.)) - In Step 2 sind dann die Daten des Antragstellers auszufüllen: Technical Contact ist der Administrator des jeweiligen Servers (wobei bei der eMail-Adresse auch eine Gruppen-Mail sinn macht - an diese geht nämlich dann das Zertifikat und die Warnungen über den Ablauf). Administrative Contact ist einer der Proxys des Teilnehmers. Die Daten hier müssen mit der Preregistration übereinstimmen. Mit dem Passwort, das hier gesetzt wird, kann der Administrator das Zertifikat jederzeit selbst revoken, sollte das notwendig sein. - Dann kann der Request in Step 3 abgeschickt werden. Sobald das System den Request akzeptiert hat, bekommt der Admin-Contact eine Mail [1], in der nochmal alle Daten des Antrags aufgeführt sind. Wenn alles seine Richtigkeit hat (Technical Contact gehört wirklich zur Uni, ...), muss der Proxy die Mail ausdrucken, die Angaben mit seiner Unterschrift bestätigen und das an uns faxen. Sobald wir das Fax bekommen haben, machen wir nocheinmal einen Gegencheck und geben danach das Zertifikat zur Ausstellung frei. Sobald das passiert ist, bekommt der Technische Kontakt eine Mail mit dem Signierten Zertifikat, und einer URL, unter der er es auch in Zukunft herunterladen kann. 3. VERWENDUNG ============= Globalsign bietet ein eigenes Support-Portal an mit jeder Menge Dokumentation zu den Zertifikaten und wie man sie installieren muss: http://support.globalsign.net/ In jedem Fall zu beachten ist, dass die Signaturen dieser Zertifikate mehrstufig sind. Damit sie die Webbrowser ohne Rückfrage akzeptieren, muss daher im Weberver die ganze Zertifikatskette installiert werden. (Siehe auch: http://support.globalsign.net/en/serversign/apachemodssl.cfm) > Im Apache 2 läuft das folgendermassen: > http://secure.globalsign.net/cacert/sureserverEDU.pem auf den > Webserver holen, dann in der apache Config zusätzlich zum CertFile > auch noch folgendes eintragen: > > SSLCACertificateFile /etc/httpd/conf/sureserverEDU.pem Der Serveradmin kann das Zertifikat jederzeit mit dem Passwort, das er gesetzt hat, revoken. Sollte das verloren gegangen sein, dann bitte ein FAX an uns mit der Seriennummer des Zertifikates, das eingezogen werden soll, und der Unterschrift eines Proxys. 4. ALLGEMEINES ============== * Das Service ist für den Endbenutzer kostenlos, erfordert aber bei uns einen gewissen 'buchhalterischen' Aufwand. Wir bemühen uns zwar die Zertifikate so schnell wie möglich auszustellen, bitten aber um Verständnis, dass wir keine Antwortzeiten garantieren können. Was wir an Dokumentation mitzuführen haben (und auch, dass das ganze auf Papier erfogen muss), ist uns von Globalsign vorgegeben. * Meldungen über Problem Bugs mit dem System bitte nicht direkt an Globalsign, sondern über uns abwickeln. * Das Service richtet sich an die Teilnehmer von ACOnet, um ihre Server mit SSL Zertifikaten auszustatten. Eine weitergabe an Dritte ist nicht möglich, ebenso ist die Verwendung dieser Zertifikate für kommerzielle Zwecke (Webshop, ...) nicht erlaubt. Bei Fragen, Wünschen und Anregungen wenden Sie sich bitte an scs-ra@aco.net. Die FAX-Nummer für die Papiere lautet: 01/4277-9140 Die Ansprechpartner bei uns für weitere Fragen sind: * Holger Englisch * Michael Perzi * Ulrich Kiermayr In diesem Sinne - happy Signing --- [1] Die Mail wird im Moment von uns händisch generiert, nachdem der Automatismus erst ab nächster Woche funktioniert.