Arvutiabi

Page tree

Tartu Ülikooli IT viki

Versions Compared

Old Version 6

changes.mady.by.user Robert Tiismus

Saved on

compared with

New Version Current

changes.mady.by.user Joonas Masing

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Siit juhendist leiad juhised veebisertifikaatide domeeninimedele tellimise kohta.

HTML Wrap
classbutton button1

(info) In English


Veebisertifikaat on krüptograafiline dokument, mis tagab veebilehe turvalise ühenduse. See on oluline osa HTTPS-protokollist, mis aitab kaitsta veebisaidi külastajate privaatsust ja tagada edastatavate andmete salastatust.

Warning

Veebisertifikaadi saad tellida Tartu Ülikooli poolt väljastatud domeenimedele. Vaata täpsemalt Domeeninimede tellimine.

Veebisertifikaadid täidavad mitmeid funktsioone:

  • autentimine: sertifikaat tõendab veebisaidi autentsust, kinnitades, et see kuulub tõepoolest konkreetsele organisatsioonile või ettevõttele
  • andmete krüpteerimine: veebisertifikaadi abil saab veebilehitseja ja veebiserver luua krüptitud ühenduse, mis tagab, et edastatavad andmed on krüpteeritud ja turvalised
  • andmete terviklus: sertifikaat tagab ka selle, et edastatud andmetes ei oleks volitamata muudatusi või rikkumisi

Veebisertifikaate väljastavad vastavad autoriseeritud sertifitseerimise- ehk  CA asutused. Need asutused kontrollivad veebisaidi omanike identiteeti ja väljastavad kindlatele standarditele vastavaid sertifikaate. Kui veebisait kasutab veebisertifikaati, kuvab veebilehitseja tavaliselt väikese rohelise lukusümboli, mis näitab, et ühendus on turvaline.

Veebisertifikaatide kasutamine on oluline privaatsuse ja turvalisuse tagamiseks veebis ning see on eriti oluline, kui veebisait kogub kasutajate isiklikke andmeid või kui seal tehakse finants- või muud tundlikku teavet sisaldavaid tehinguid.

Tartu Ülikool kasutab veebilehtedele sertifikaatide tellimiseks kahte sertifitseerimisteenuse pakkujat, LetsEncrypt ja Sectigo:

  • Tasulises

Kuidas tellida domeeninimedele veebisertifikaate

Tartu Ülikool kasutab veebilehtedele sertifikaatide tellimiseks kahte sertifitseerimisteenuse pakkujat:

  1. LetsEncrypt - tasuta teenus mis nõuab veebiserveris sertifikaadi uuendamise utiliidi paigaldamist. See on vajalik, sest LetsEncrypt väljastab ainult paarikuulise kehtivusajaga sertifikaate. Veebileht peab sertifikaadi tellimiseks ja uuendamiseks olema avatud kogu Internetile;
  2. Sectigo - TÜ jaoks tasuta teenus millega tohib sertifikaate tellida ainult Tartu Ülikooli nimele registreeritud domeeninimedele. Sertifikaat kehtib ühe aasta, tellida saab nii "käsitsi" teenusepakkuja veebiportaalis kui ka skriptidega üle ACME protokolli.
CPanel platvormil töötavas tasulises
  • veebimajutuse serveris webhost.ut.ee on võimalik valida mõlemat lahendust, vaikimisi seadistakse LetsEncrypt
;
Drupal põhises tasuta veebimajutuses sisu
  • .ut.ee lehtedel on kasutusel ainult LetsEncrypt
;
  • .
  • Kõigil ülejäänud juhtudel võib vastavalt oma oskusele seadistada kas LetsEncrypt või tellida
sertifikaadi
  • Sectigo CA
kaudu;
  • Sectigo CA sertifikaate tellivad enamasti ITO ja HPC töötajad, kuid põhjendatud vajaduse puhul teeme Sectigo sertifikaaditellimise konto ka ITO-välistele TÜ töötajatele.

Pöördumiste portaali kaudu saad sertifikaati tellida siit: https://jira.ut.ee/servicedesk/customer/portal/4/create/80.

LetsEncrypt

LetsEncrypt on tasuta teenus, mis nõuab veebiserveris sertifikaadi uuendamise utiliidi paigaldamist. See on vajalik, sest LetsEncrypt väljastab ainult paarikuulise kehtivusajaga sertifikaate. Veebileht peab sertifikaadi tellimiseks ja uuendamiseks olema avatud kogu Internetile;

Täpsemad juhendid leiab teenusepakkuja veebiportaalist.

Sectigo

NB! See sektsioon on ainult neile kellel on kehtiv Sectigo sertifikaatide tellimise konto.

Teenuselepingu hankija on GÉANT, Tartu ülikoolile vahendab seda HTM all toimiv EENet. Sectigo CA teenus on TÜ jaoks tasuta. Kehtivate teenusetingimuste alusel tohib Sectigo sertifikaate tellida ainult Tartu Ülikooli nimele registreeritud domeeninimedele. Sertifikaat kehtib maksimaalselt ühe aasta, tellida saab nii teenusepakkuja veebiportaali kaudu, kui ka certbot skriptidega üle ACME protokolli.

Juhised


Expand
titleSertifikaadi tellimine Sectigo CA portaalist
Sectigo CA konto olemasolul tuleb sertifikaadi tellimiseks tekitada
  1. Logi sisse Sectigo veebiportaali ja veendu et vajalikule teise taseme domeeninimele on portaalis võimalik sertifikaati tellida:
    1. Vasakul ülanurgas kolm kriipsu →  Menüü →  Domains - manab ette saadaval olevate 2LD domeeninimede nimekirja.
    2. Kui vajalikku 2LD domeeninime selles nimestikus ei ole, siis pöördu arvutiabi poole selle lisamise nõudega.
  2. Sertifikaadi tellimiseks tuleb luua võtmefail ning sertifikaaditellimuse fail.

  3. Võtmefaili loomiseks sobib Linuxi käsurea käsk:

    Code Block
    openssl genrsa -out <id>.key 2048
Kus

  1. <id> tuleb asendada identifitseeriva nimega, näiteks sobib selleks domeeninimi ja tellimise aasta, nagu "www.ut.ee_2021". Käsu tulemusena tekib fail <id>.key.

  2. Sertifikaaditellimise faili loomiseks sobib käsk:

    Code Block
    openssl req -new -sha256 -key <id>.key -out <id>.csr -subj '/CN=<domeeninimi>'
Kus

  1. <id> on sama mis võtme loomisel. Käsu tulemusena tekib fail <id>.csr

Seejärel tuleb logida Sectigo veebiportaali ning valida menüüst
  1. Veendu et domeeninimi on valideeritud:
    1. Vali menüüst (vasakul ülanurgas kolm kriipsu) → Domains → Veendu et vajaliku domeeninime staatus on "VALIDATED".
  2. Kui domeeninimi ei ole valideeritud, siis saada arvutiabile nõue domeeninime valideerimiseks.

  3. Vali menüüst (vasakul ülanurgas kolm kriipsu):

    1. Certificates → SSL Certificates → "+" (paremal ülanurgas) Using a Certificate Signing Request (CSR) → Next.

Rippmenüüst

  1. Vali rippmenüüst:

    1. Organization -> Tartu Ülikool

    2. Department -> Tartu Ülikooli vastav allüksus millele sertifikaati tellitakse

    3. Certificate Profile -> "GÉANT OV SSL" või "GÉANT OV Multi-Domain", kui sertifikaat katab rohkem kui ühe domeeninime

  2. Vajuta Next.

  3. Tekib ala kuhu saab hiirega lohistada eelnevalt loodud <id>.csr faili või kopeerida selle faili sisu tekstina.

  4. Vajuta Next.

  5. Multi-Domain puhul saab nüüd lisada "Subject Alternative Names" lahtrisse lisadomeeninimesid.

  6. Vajuta Next → OK.

Mõne aja möödudes saadab Sectigo CA e-postiga juhised kuidas värskelt loodud sertifikaat alla laadida. Kui e-kiri ei ole tunni jooksul saabunud, siis on juba põhjust arvutiabi poole pöörduda.

How to order the web certificates for domain names


Expand
titleSertifikaadi tellimine ACME teel certbot utiliidiga
  1. Certbot kasutamiseks peab olema eelnevalt seadistatud letsencrypt kataloogis Sectigo võtmefailide kataloog.
    Kui seda ei ole, siis küsi see arvutiabi vahendusel.
  2. Certbot abil saab tellida sertifikaate ainult Sectigo portaalis valideeritud ja skriptiga tellimiseks lubatud domeeninimedele
    Kui sertifikaadi tellimine ei õnnestu, siis anna sellest teada arvutiabile.

  3. Sertifikaadi tellimise käsurea näide:

    Code Block
    certbot certonly --standalone -d minuveeb.ut.ee

    Selle käsu tulemusena tekivad letsencrypt kataloogipuusse minuveeb.ut.ee sertifikaadifailid. Certbot käsuga saab luua sertifikaadid kohe õigesse asukohta ja teha veebiserverile uuestilaadimise. Sectigo ACME ei nõua et veebileht oleks aktiivne ja kättesaadav.

  4. Tasub märkida et kuna certbot abil sertifikaadi tellimisel eeldab Sectogo et tellimist teostab perioodiliselt käivituv skript, siis ei saadeta tellijale sertifikaadi aegumisaja lähenemisel sellekohaseid märguandeid.


Arvutiabi telefoninumber: 737 5500

(lühinumber: 5500)