SSL tanúsítvány igénylés

Az ELTE kapcsolódott az NIIF tanúsítvány szolgáltatásához. Ennek keretében olyan web szerver tanúsítványok igényelhetők, amelyeket olyan tanúsító hatóság ír alá, amelynek root tanúsítványát "gyári" módon tartalmazzák a napjainkban elterjedten használt web böngészők (pl. Mozilla Firefox, Chrome, MS Internet Explorer, stb.). Így ha a felhasználó egy ilyen tanúsítvánnyal ellátott, HTTPS protokollt használó oldalra látogat, nem kap a böngészőtől a tanúsítvány bizonytalan eredetére, és ezzel kapcsolatos biztonsági kockázatokra vonatkozó figyelmeztetést.

Szerver tanúsítványt tanszéki rendszergazda igényelhet.

Amennyiben virtuális webszerver részére szeretne https tanúsítványt igényelni, úgy ne az alábbi útmutatót kövesse, hanem szíveskedjen ezt a szándékát Operátori Szolgálatunknál jelezni.

Az igénylés menete

  • A szerveren generálni kell egy RSA privát kulcsot és egy csr tanúsítványkérést.

openssl req -new -newkey rsa:4096 -out szerverneve.elte.hu.csr -keyout szerverneve.elte.hu.key -nodes -config openssl.cnf

A generáláskor az Organizational Unit Name és Common Name mezőbe az adott tanszék és az adott szerver DNS nevét kell írni, ékezet nélkül. Másodlagos CN-ek megadása esetén azok SubjectAltName kiterjesztésként jelennek meg.

A kulcs levédése: chmod 400 szerverneve.elte.hu.key
A csr file ellenőrzése: openssl req -in szerverneve.elte.hu.csr -noout -verify -text

A példában szereplő openssl.cnf innen tölthető le.

  • Az igénylő az elkészített csr tanúsítvány kérést elküldi e-mailban az operator@elte.hu címre.
  • Az Operátori Szolgálat azonosítja az igénylőt, ehhez belső levelezésből meg kell küldeni a jogosultságot tanúsító, tanszékvezető által aláírt igazolás szkennelt verzióját. Az igazolás nélkül a tanúsítványt nem áll módunkban kiadatni!
  • Az igénylő az általa megadott emailcímre kapja meg az aláírt tanúsítványt.
  • Be kell állítani a tanúsítványláncokat.
Apache webszerver esetén az SSL beállításokat ki kell egészíteni az alábbival:

SSLCertificateFile /etc/ssl/szerverneve.elte.hu.pem
SSLCertificateKeyFile /etc/ssl/szerverneve.elte.hu.key