38
szerkesztés
Módosítások
TCS
,nincs szerkesztési összefoglaló
== A KIFÜ tanúsítványszolgáltatás ==
<span style="color: red;">''2020.08.19-től nem lehet 2 éves TLS tanúsítványokat igényelni a Sectigo rendszerében!''</span>
<span style="color: red;">[https://sectigo.status.io/pages/maintenance/5938a0dbef3e6af26b001921/5f0e30f3aab0e604b91214a0 --->LINK]</span>
A ''Megbízható Tanúsítványszolgáltatás'' (Trusted Certificate Service, '''TCS''') olyan tanúsítványok kiállítását biztosítja, amelyet az elterjedt böngészők és kliensprogramok megbízhatónak tartanak, valamint bizonyos típusaik Grid hálózatokban is elfogadhatóak.
Az eléréséhez szükséges, hogy az intézmény létre legyen már hozva a felületen, és legalább egy adminisztrátor be legyen állítva. Lásd a “Belépés” részt.
A TCS rendszerben a tanúsítványokat kiállító CA (a '''[https://sectigo.com/ Sectigo]''') az igénylők azonosításának és a tanúsítványigénylések elbírálásának jogát és felelősségét átruházza a TCS rendszert használó intézmények erre felhatalmazott adminisztrátorai számára. Az igényléseket a Sectigo [[TCSValidation :TCS#Valid.C3.A1ci.C3.B3s_folyamatok| validálja]].
== Igényelhető tanúsítványok ==
A Sectigo a GÉANT Trusted Certificate Service (TCS) szolgáltatás új szállítója a DigiCert helyett. A Sectigo Certificate Manager-t (SCM) használjuk a DigiCert CertCentral helyett. A további részben bemutatjuk a legfontosabb változásokat.
<syntaxhighlight line>
Figyelem! A Sectigo SCM platformről törölni nem lehet. Ezt azt jelenti, hogy ha tévedésből igényelt egy tanúsítványt vagy rossz DNS TLD-t küldött be DCV-re vagy elírta a ACME account nevet, akkor ezeket csak a Sectigo Support tudja törölni az SCM platformról.
</syntaxhighlight>
=== Nincs "Divízió" objektum az új rendszerben ===
A tanúsítványok kiállítása előtt érvényesítenie kell egy vagy több domaint. Ennek a folyamatnak több lépése van:
# Győződjön meg arról, hogy a DNS-zónájában nincs CAA-rekord, amely megtiltja a Sectigo számára, hogy tanúsítványokat állítson ki az adott domainra. Ebben az esetben a domain validálása kudarcot vallana. Ha hiányzik a CAA-rekord vagy ott van de tartalmazza a „sectigo.com”bejegyzést, akkor menni fog a validáció.
# Válassza a '''''Settings → Domains → Delegations''''' menüpontot, és nyomja meg az Add gombot. Töltse ki a domain nevet (example.org) és az opcionális leírást. Válassza ki a domainhez engedélyezni kívánt tanúsítványok típusát (SSL, kliens, CS). A fő domainhez általában érdemes mindet engedélyezni, de a többi kiegészítő domainhez elegendő csak az SSL tanúsítványokat. A Client Certificate és a Code Signing-ot csak akkor szabad kijelölni, ha valóban használni szeretné azokat. Ha Departmenteket hozott létre, és ezt a tartományt az adott egység DRAO-jainak kell átruházni, nyissa le a választási sort, és engedélyezze a domaint a megfelelő egységnél és állítsa be a megfelelő típusokat is.# Nyomja meg újra az Add gombot, és pontosan ugyanezeket a lépéseket kell megtenni a "*"-al kiegészített domainnév esetében is (a példánkban *.example.org). '''''Ezt mindenképpen tegye meg, hogy ne okozzon gondot az aldomainekre is igényelni tanúsítványt!'''''# Amennyiben egy DRAO jogosultságú személy vagy egy szűkített jogosultsággal bíró RAO személy indította a domain validációt, szükség van egy megfelelő jogosultságokkal rendelkező RAO vagy egy MRAO engedélyezésére is a delegációkat illetően.
# A '''''Delegations''''' fülről váltson a '''''DCV (Domain Control Validation)''''' fülre. Jelölje ki a megfelelő domaint, és a megjelenő DCV gomb segítségével indítsa el a DCV folyamatot. Válasszon metódust:
#* Az ''"Email"'' opcióval a tartomány öt lehetséges címe közül választható ki az, ami majd fogadja és kezeli az oda küldött e-maileket. Példánk esetében ez lehet az „admin@example.org”, „administrator@example.org”, „hostmaster@example.org”, „postmaster@example.org” vagy „webmaster@example.org”.
# Lépjen a '''''Settings → Organizations''''' elemre, és kattintson a megfelelő szervezeti sorra, majd a '''''Departments''''' gombbal jelenítse meg a listázási ablakot, és nyomja meg az '''''Add''''' gombot.
# Adja meg a kívánt ''"OU ="'' név összetevőt a ''Department Name'' mezőnél. A név többi része megegyezik a szervezetével.
# Válassza ki a '''''Client Certificate''''' fület, és tiltsa le a MRAO és a DRAO számára a Key Recovery kulcs-helyreállítást (''"Allow Key Recovery by Master Administrators"'' és ''"Allow Key Recovery by Department Administrators"''). A RAO-k számára már tiltva lesz, mivel az a SUNET által végzett szervezetbeállítás része volt.
# Az egyéb opciókkal nem kell most foglalkozni, mivel ezek később is beállíthatóak. A befejezéshez nyomja meg az '''''OK''''' gombot.
Amikor a tanúsítvány kiadásra kerül, annak státusza ''"Issued"'' lesz, és e-mailt kap erről az igénylő.
Ha szükséges, akkor is letöltheti a tanúsítványt, ha rákattint annak kijelöléséhez, és használja a '''''Details''''' gombot, majd a '''''Select''''' gombot a ''"Certificate download"'' jobb oldalán.
=== CSR generálására példák ===
'''Egy domain esetén'''
<syntaxhighlight line>
openssl req -new -newkey rsa:4096 -nodes \
-out domain_kifu_hu.csr \
-keyout domain_kifu_hu.key \
-subj "/C=HU/ST=Budapest/L=Budapest/O=KIFÜ/OU=IKT/CN=domain.kifu.hu"
</syntaxhighlight>
'''Több domain esetén'''
<syntaxhighlight line>
openssl req -new -newkey rsa:4096 -nodes \
-out domainX_kifu_hu.csr \
-keyout domainX_kifu_hu.key \
-subj "/C=HU/ST=Budapest/L=Budapest/O=KIFÜ/OU=IKT/CN=domain1.kifu.hu/CN=domain2.kifu.hu"
</syntaxhighlight>
'''Wildcard'''
<syntaxhighlight line>
openssl req -new -newkey rsa:4096 -nodes \
-out star_domain_kifu_hu.csr \
-keyout star_domain_kifu_hu.key \
-subj "/C=HU/ST=Budapest/L=Budapest/O=KIFÜ/OU=IKT/CN=*.domain1.kifu.hu/CN=*.domain2.kifu.hu"
</syntaxhighlight>
Ha csak lehet, kerüljük az emailcím használatát a subjectben. Ha valamiért mégis szerepeltetni kell, akkor vigyázni kell arra, hogy az emailcím domainje szerepeljen az adott Organization/Department levalidált domainjei között.
<span style="color: red;">''Figyelem: A Sectigo ellenőrzi, hogy a Subjectben megadott adatok egyeznek-e az SCM felületén szereplő szervezeti adatokkal! Azaz az ST tagot akkor fogadja el, ha a szervezeti adatoknál ki van töltve a megye; valamint az OU-t csak akkor, ha az Organization alatt van Department is létrehozva. Ez utóbbi esetben ráadásul a CSR-ben szereplő domain(ek) delegálva kell legyen(ek) az adott Departmenthez!</span>
=== Nem adminisztrátor jogosultságú igénylések engedélyezése ===
* ''Nem javasoljuk'' az ''"Automatically Approve Self Enrollment Requests"'' opció bejelölését! Legalább manuálisan jóvá kell hagyatni az ezen a módon érkező tanúsítványkéréseket!
* Érdemes lehet testreszabnia a választható SSL típusokat az igénylő űrlaphoz ('''''SSL types → Customize''''', jobb oldali rész), hogy megakadályozza a felhasználót abban, hogy olyan tanúsítványtípusokat is igényeljen, melyeket nem kíván engedélyezni a számára. Az SCM felületén továbbra is megőrizheti a választási lehetőséget (a fenti felület bal oldali részén).
=== EV tanúsítványok ===
Amennyiben nem feltétlenül szükséges, nem javasolt EV tanúsítványok használata. Ha mégis igényelnének, akkor első lépésben meg kell nyitni a '''''Settings''''' -> '''''Organizations''''' résznél a saját intézményt szerkesztésre, és ott az '''''EV Details" fülön ki kell tölteni a megadott mezőket:
[[Fájl:Sectigo EV Details.png|bélyegkép]]
Amennyiben nem szerkeszthetőek ezek a mezők, kérjük küldje el az adatokat az [mailto:ugyfelszolgalat@kifu.hu Ügyfélszolgálat] emailcímére, és a KIFÜ adminisztrátorai kitöltik azokat. Ezek után indítható az EV tanúsítvány igénylése.
== Személyes tanúsítványok ==
# Visszatérve az eredeti RAO-hoz, szerkessze az új admint, és állítsa be rá a „WS API use only” opciót.
# Ahhoz, hogy az API-hívásokat tanúsítványok kezelésére használhassuk, szerkeszteni kell a megfelelő ''Organization'' vagy ''Department'' objektumot, és az '''''SSL Certificate''''' lapon engedélyeznie kell a Web API jelölőnégyzetet. Meg kell adnia egy értéket a ''Secret key'' mezőhöz is.
=== ACME Windows ===
A certbot egyelőre béta verziójú, ennek figyelembevételével használja mindenki!
# Első lépésben létre kell hozni egy ACME (Automated Certificate Management Environment) felhasználót az SCM-ben. Ezt a '''''Settings → Organizations''''' részben tehető meg, a saját szervezet kiválasztása után fent megjelenik az '''''ACME Accounts''''' menüpont. A felugró menüben az '''''Add''''' gomb megnyomásával hozható létre új account. A szükséges adatok kitöltése után létrejön az account, és az utolsó kis képernyőn megjeleníti a felhasználáshoz szükséges adatokat. (''4. lépés'') Ezeket megfelelő helyre el kell menteni.
[[Fájl:Sectigo acme 01.png|bélyegkép|ACME]]
# Le kell tölteni a Windowsra a certbot klienst: https://dl.eff.org/certbot-beta-installer-win32.exe
# Fel kell installálni a klienst Windows 2016 vagy Windows 2019 szerverre. Az installálás során létrejön egy ütemezett feladat, ami naponta kétszer ellenőrzi, hogy szükséges-e a tanúsítvány megújítása, és ha igen, el is végzi.
# Negyedik lépésben be kell állítani a certbot klienst. El kell indítani a parancssort adminisztrátori jogosultsággal. A következő parancsot kell kiadni:
''certbot register --server https://acme.sectigo.com/v2/OV --eab-kid <your own KeY ID:> --eab-hmac-key <your own HMAC Key:> --email <an email address> ''
# A ''Key ID'' és a ''HMAC key'' a certbot account létrehozásakkor elmentett adatokból származnak. A certbot most már be van konfigurálva.
# Az ACME-n keresztüli tanúsítványigénylés:
''certbot certonly --domain <domainname> --server https://acme.sectigo.com/v2/OV''
# A cert a következő elérési úton lesz megtalálható: ''C:\Certbot\live\<domainname>''
# Fel kell installálni a tanúsítványt a szerverre (sajnos itt még nem sikerült kitalálni, hogy lehet ezt is automatizálni). Egy órába is beletelhet, mire megjelenik a tanúsítvány az SCM felületén. A státusza ''External'' lesz, az igénylőnél pedig ez jelenik meg: ''CN=Sectigo RSA Organization Validation Secure Server CA''
== Segítség ==
