Red Hat Linux 7.0: Das Offizielle Red Hat Linux Referenzhandbuch
ZurückKapitel 11 Beantragen eines Zertifikats für Ihren sicheren ServerVor

Erwerben eines Zertifikats

Den erstellten Antrag müssen Sie nun zu einer ZS senden.

Erwerben eines Zertifikats von VeriSign

Zunächst müssen Sie entscheiden, was für ein Zertifikat Sie erwerben möchten. Eine Beschreibung der Zertifizierungsprodukte von VeriSign finden Sie in Abschnitt namens Zertifikatspaket von VeriSign.

Rufen Sie dann die Website /www.verisign.com/server/ auf. Wählen Sie das Zertifikat aus, das Sie kaufen möchten.

Der Kaufvorgang ist bis zu einem gewissen Grad standardisiert. Sie erhalten im Folgenden schrittweise Anleitungen zum Erwerb des Zertifikats "Secure Site". Sie sollten anhand dieser Anleitungen auch ein anderes Zertifikat erwerben können.

  1. Für Zertifikate des Typs "Secure Site" können Sie, wenn gewünscht, eine Zweijahres-Option (Two Year Option) auswählen und den Standort Ihres Secure Servers bestätigen. Klicken Sie auf Continue, sobald Sie die Auswahl abgeschlossen haben.

  2. Die nächste Seite Preparing for Enrollment wird aufgerufen. Hier erhalten Sie eine Zusammenfassung der Informationen, die Sie VeriSign zur Verfügung stellen müssen. Lesen Sie diese Seite, und stellen Sie sicher, dass alle nötigen Informationen bereitstehen, bevor Sie mit dem Antrag fortfahren. Klicken Sie dann auf den Button Continue am unteren Rand der Seite.

  3. Die nächste Seite CSR: Wizard: Verify Distinguished Name wird angezeigt. Wenn Sie noch keinen Schlüssel und Antrag gemäß den in Abschnitt namens Generieren von Schlüsseln und Abschnitt namens Erzeugen von Zertifikatsanträgen für die Zertifizierungsstelle gegebenen Anweisungen erstellt haben, holen Sie dies jetzt nach. Wählen Sie dann das Kontrollkästchen I have already prepared a CSR for this enrollment, und klicken Sie auf Continue.

  4. Der nächste Schritt, Submit CSR, wird in Abbildung 11-1 gezeigt. Wählen Sie aus der Liste Server Software Vendor die Option Red Hat aus.

    Abbildung 11-1 Übergeben des Zertifikatsantrags an VeriSign

    Fügen Sie den Inhalt Ihres Antrags in das Textfeld Enter CSR Information ein. Um den Inhalt der Datei auszuschneiden und einzufügen, wechseln Sie zunächst in das Verzeichnis /etc/httpd/conf/ssl.csr (wenn Sie mit X arbeiten). Zeigen Sie den Inhalt von server.csr mit dem Befehl cat server.csr an. Heben Sie den Inhalt der Datei hervor, indem Sie mit der linken Maustaste klicken und ziehen. Klicken Sie mit der linken Maustaste auf das Textfeld auf der Web-Seite. Klicken Sie mit der mittleren Maustaste, um den hervorgehobenen Text einzufügen.

    Stellen Sie sicher, dass Sie beim Kopieren und Einfügen keine zusätzlichen Leerstellen vor oder nach dem Text einfügen (einschließlich der Zeilen -----BEGIN CERTIFICATE REQUEST----- und -----END CERTIFICATE REQUEST-----). Einige Zertifizierungsstellen weisen Anträge zurück, die zusätzliche Leerstellen enthalten.

    Wenn Sie die Daten in den Antrag eingefügt haben, klicken Sie auf Continue.

  5. Als nächsten Schritt müssen Sie nun den Berechtigungsnachweis (Proof of Right) erbringen. Sie müssen also VeriSign nachweisen, dass Ihre Organisation ordnungsgemäß erfasst ist. Zunächst versucht VeriSign, den angegebenen Namen der Organisation in der Datenbank von Dun & Bradstreet zu finden. Wurde der Name Ihrer Organisation in der Datenbank gefunden, wählen Sie ihn aus. Wählen Sie anderenfalls My company and/or my company's correct address is not displayed in this list. Klicken Sie auf Continue.

    Die einfachste Möglichkeit, die Identität Ihres Unternehmens zu beweisen, ist die D-U-N-S-Nummer. Es gibt jedoch auch andere Möglichkeiten, wenn Sie über keine solche Nummer verfügen oder diese Nummer nicht verwenden möchten. VeriSign gibt Anweisungen dazu, wie Sie die Identität Ihrer Organisation mit anderen Mitteln nachweisen können. Sie müssen den Nachweis bereithalten, bevor Sie ein Zertifikat beantragen. Sobald die erforderlichen Dokumente vorliegen, können Sie mit dem Vorgang fortfahren.

  6. Nach Auswahl der korrekten Organisation aus der Datenbank von Dun & Bradstreet und nach Klicken auf Continue wird die nächste Seite Confirm Domain Registration aufgerufen. Auf dieser Seite überprüft VeriSign, ob die angegebene Domäne für Ihre Organisation registriert ist. Weitere Informationen zur Registrierung eines Domänennamens finden Sie im InterNIC FAQ unter http://www.internic.net/faq.html und/oder kann bei Ihrem Netzwerkadministrator erfragt werden.

    Der verwendete Domänennamen muss für Ihre Organisation registriert sein. Der Name der in der Domänenregistrierung aufgelisteten Organisation sollte also dem Namen entsprechen, den Sie für die Organisation eingegeben haben. Anderenfalls müssen Sie einen neuen Antrag mit den korrekten Informationen erstellen.

    In den meisten Fällen werden die Namen übereinstimmen. Sie können das Feld These organization names match auswählen und dann auf Continue klicken.

  7. Auf der nächsten Seite wird Ihnen mitgeteilt, dass Sie die erste Gültigkeitsüberprüfung von VeriSign bestanden haben. Klicken Sie auf Continue.

  8. Die nächste Seite, Complete Application, wird angezeigt (siehe Abbildung 11-2).

    Abbildung 11-2 Antrag auf ein VeriSign-Zertifikat

    Tragen Sie in den Bereich Enter Technical Contact Information alle Daten zum Administrator oder Webmaster Ihres Red Hat Linux Secure Web Server ein.

    Geben Sie die entsprechenden Informationen zur Kontaktperson in Ihrer Organisation in den Abschnitt Enter Organizational Contact Information ein. Befolgen Sie dabei die Anweisungen von VeriSign.

    Geben Sie in das Feld Enter Billing Contact Information die Daten des Mitarbeiters ein, der für die Abrechnung zuständig ist.

    Geben Sie einen Abfrageausdruck und eine Erinnerungsfrage in die dafür vorgesehenen Bereiche "challenge phrase" und "reminder question" ein. Sie müssen den Abfrageausdruck kennen, wenn Sie Support-Leistungen von VeriSign in Anspruch nehmen möchten. Sie sollten ihn deshalb notieren und an einem sicheren Ort aufbewahren.

    Geben Sie an, wie Sie das Zertifikat zahlen möchten.

    Lesen Sie die Vereinbarungen für Unterzeichner im unteren Teil der Seite. Klicken Sie dann auf den Button Continue. Ihr Antrag wird übermittelt.

Wenn Sie den Antrag ausgefüllt haben und Ihre Daten und Zahlung bei VeriSign eingegangen sind, wird die Identität Ihrer Organisation bestätigt, und Ihr Zertifikat wird ausgestellt. Das genehmigte Zertifikat wird über E-Mail an die Kontaktpersonen im Unternehmen gesendet, die Sie angegeben haben.

Speichern Sie das Zertifikat von VeriSign in der Datei server.crt unter /etc/httpd/conf/ssl.crt/. Befolgen Sie die in Abschnitt namens Testen Ihres Zertifikats beschriebenen Schritte, um Ihr Zertifikat zu installieren.

Erwerben eines Zertifikats von Thawte

So erwerben Sie ein Zertifikat von Thawte:

  1. Rufen Sie in Ihrem Browser die Seite http://www.thawte.com/certs/server/request.html auf. Sie enthält einen Überblick über die notwendigen Schritte.

  2. Zunächst einmal müssen Sie alle erforderlichen Dokumente zusammenstellen, wie unter Abschnitt namens Identitätsnachweise für Thawte und auf der zuvor genannten Web-Seite beschrieben.

  3. Generieren Sie dann einen Schlüssel und einen Signierungsantrag. Wenn Sie die Anweisungen unter Abschnitt namens Generieren von Schlüsseln und Abschnitt namens Erzeugen von Zertifikatsanträgen für die Zertifizierungsstelle befolgt haben, verfügen Sie bereits über einen Schlüssel (/etc/httpd/conf/ssl.key/server.key ) und einen Antrag (/etc/httpd/conf/ssl.csr/server.csr). Wenn Sie Schlüssel und Zertifikatsantrag noch nicht erstellt haben, holen Sie dies nun nach, und befolgen Sie hierfür die in diesem Dokument aufgeführten Anweisungen.

  4. Rufen Sie die Web-Seite von Thawte Buy a Certificate unter https://www.thawte.com/cgi/server/step1.exe auf. Wählen Sie SSL Server Certificate aus. Klicken Sie am unteren Rand der Seite auf den Button Next.

  5. Die nächste Seite Server Cert Enrollment wird aufgerufen. Fügen Sie den Inhalt der Datei /etc/httpd/conf/ssl.csr/server.csr in das in Abbildung 11-3 gezeigte Textfeld Certificate Signing Request (CSR) ein.

    Abbildung 11-3 Antragsformular von Thawte

    Um den Inhalt der Datei auszuschneiden und einzufügen, wechseln Sie zunächst mit dem Befehl cd in das Verzeichnis /etc/httpd/conf/ssl.csr (wenn Sie mit X arbeiten). Zeigen Sie den Inhalt von server.csr mit dem Befehl cat server.csr an. Markieren Sie den Inhalt der Datei, indem Sie mit der linken Maustaste klicken und ziehen. Klicken Sie mit der linken Maustaste auf das Textfeld auf der Web-Seite. Klicken Sie mit der mittleren Maustaste, um den hervorgehobenen Text einzufügen.

    Stellen Sie sicher, dass Sie beim Kopieren und Einfügen keine zusätzlichen Leerstellen oder weißen Bereiche vor oder nach dem Text einfügen (einschließlich der Zeilen -----BEGIN CERTIFICATE REQUEST----- und -----END CERTIFICATE REQUEST-----). Einige Zertifizierungsstellen weisen Anträge zurück, die zusätzliche Leerstellen enthalten.

  6. Wählen Sie aus dem Pulldown-Menü Web Server Software die Option Red Hat Secure Server aus.

  7. Wählen Sie aus, in welcher Form die Zahlung für das Zertifikat erfolgen soll.

  8. Klicken Sie am unteren Rand der Seite auf Next.

  9. Auf der nächsten Seite wird eine Analyse des Zertifikatsantrags (Analysis of Certificate Signing Request ) angezeigt (siehe Abbildung 11-4).

    Abbildung 11-4 Analyse des Zertifikatsantrags

    Weiter unten auf der Seite müssen Sie in Background Information eine Beschreibung Ihrer Organisation aus dem Pulldown-Menü auswählen oder eine eigene Beschreibung in das vorgesehene Textfeld eingeben.

  10. Wenn Sie über eine D-U-N-S-Nummer verfügen, geben Sie diese in das dafür vorgesehene Textfeld DUNS Number ein.

  11. Lesen Sie die Unterzeichnervereinbarungen von Thawte unter Subscriber Agreement. Tragen Sie die erforderlichen Daten zu den Personen Ihrer Organisation ein, die die Vereinbarungen autorisieren, wie unter Abschnitt namens Identitätsnachweise für Thawte beschrieben.

  12. Tragen Sie unter Technical Contact/Webmaster die Daten zum Administrator oder Webmaster Ihres Red Hat Linux Secure Web Server ein.

  13. Klicken Sie am unteren Rand der Seite auf den Button Next.

  14. Die nächste Seite, Server Cert Enrollment, ist die letzte Seite des Antragformulars (siehe Abbildung 11-5). Wählen Sie im ersten Pulldown-Menü die Währung aus, in der die Zahlung an Thawte erfolgt.

    Abbildung 11-5 Zertifikatsantrag von Thawte

  15. Geben Sie die Straße Ihrer Organisation in das Textfeld Office Street Address ein.

  16. Geben Sie die Faxnummer in das Textfeld Office Fax Number ein.

  17. Wählen Sie im Pulldown-Menü unter Nearest Thawte Office das Thawte-Büro aus, das Ihrer Organisation am nächsten liegt.

  18. Geben Sie in das Textfeld unter Privacy Protection Password ein Passwort oder einen Abfrageausdruck ein. Nachdem Sie den Antrag ausgefüllt haben, können Sie seinen Status im Web überprüfen.

  19. Klicken Sie am unteren Rand der Seite auf Next.

  20. Auf der nächste Seite wird Ihnen mitgeteilt, dass der Antrag vollständig übermittelt wurde. Sie erhalten eine Referenznummer, unter der Sie den Status des Antrags im Web überwachen können.

  21. Nach dem Erhalt der Dokumente und der Zahlung sendet Thawte das Zertifikat per E-Mail. Speichern Sie das erhaltene Zertifikat in die Datei /etc/httpd/conf/ssl.crt/server.crt. Anweisungen zur Installation Ihres Zertifikats finden Sie unter Abschnitt namens Testen Ihres Zertifikats.

ZurückAnfangVor
Erzeugen von Zertifikatsanträgen für die ZertifizierungsstelleHochErstellen eines Zertifikats mit eigener Signatur