Kuidas tellida domeeninimedele veebisertifikaate
Tartu Ülikool kasutab veebilehtedele sertifikaatide tellimiseks kahte sertifitseerimisteenuse pakkujat:
- LetsEncrypt - tasuta teenus mis nõuab veebiserveris sertifikaadi uuendamise utiliidi paigaldamist. See on vajalik, sest LetsEncrypt väljastab ainult paarikuulise kehtivusajaga sertifikaate. Veebileht peab sertifikaadi tellimiseks ja uuendamiseks olema avatud kogu Internetile;
- Sectigo - TÜ jaoks tasuta teenus millega tohib sertifikaate tellida ainult Tartu Ülikooli nimele registreeritud domeeninimedele. Sertifikaat kehtib ühe aasta, tellida saab nii "käsitsi" teenusepakkuja veebiportaalis kui ka skriptidega üle ACME protokolli.
- CPanel platvormil töötavas tasulises veebimajutuse serveris webhost.ut.ee on võimalik valida mõlemat lahendust, vaikimisi seadistakse LetsEncrypt;
- Drupal põhises tasuta veebimajutuses sisu.ut.ee on kasutusel ainult LetsEncrypt;
- Kõigil ülejäänud juhtudel võib vastavalt oma oskusele seadistada kas LetsEncrypt või tellida sertifikaadi Sectigo CA kaudu;
Webhost.ut.ee ja sisu.ut.ee LetsEncrypt teenuse seadistavad ITO töötajad.
Sectigo CA sertifikaate tellivad enamasti ITO ja HPC töötajad, kuid põhjendatud vajaduse puhul teeme Sectigo sertifikaaditellimise konto ka ITO-välistele TÜ töötajatele.
Sertifikaadi tellimine Sectigo CA portaalist
Sectigo CA konto olemasolul tuleb sertifikaadi tellimiseks tekitada võtmefail ning sertifikaaditellimuse fail.
Võtmefaili loomiseks sobib Linuxi käsurea käsk:
openssl genrsa -out <id>.key 2048
Kus <id> tuleb asendada identifitseeriva nimega, näiteks sobib selleks domeeninimi ja tellimise aasta, nagu "www.ut.ee_2021". Käsu tulemusena tekib fail <id>.key
Sertifikaaditellimise faili loomiseks sobib käsk:
openssl req -new -sha256 -key <id>.key -out <id>.csr -subj '/CN=<domeeninimi>'
Kus <id> on sama mis võtme loomisel. Käsu tulemusena tekib fail <id>.csr
Seejärel tuleb logida Sectigo veebiportaali ning valida menüüst:
- Certificates → SSL Certificates → "+" → Using a Certificate Signing Request (CSR) → Next
- Rippmenüüst:
- Organization -> Tartu Ülikool
- Department -> Tartu Ülikooli vastav allüksus
- Certificate Profile -> "GÉANT OV SSL" või "GÉANT OV Multi-Domain", kui sertifikaat katab rohkem kui ühe domeeninime
- Next
- Tekib ala kuhu saab hiirega lohistada eelnevalt loodud <id>.csr faili või kopeerida selle faili sisu tekstina
- Next
- Multi-Domain puhul saab nüüd lisada "Subject Alternative Names" lahtrisse lisadomeeninimesid
- Next → OK
Mõne aja möödudes saadab Sectigo CA e-postiga juhised kuidas värskelt loodud sertifikaat alla laadida. Kui e-kiri ei ole tunni jooksul saabunud, siis on juba põhjust arvutiabi poole pöörduda.