Arvutiabi

Page tree

Tartu Ülikooli IT viki

Versions Compared

Old Version 6

changes.mady.by.user Robert Tiismus

Saved on

compared with

New Version 7

changes.mady.by.user Joonas Masing

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Note

Please find the English version here: Ordering web certificates for domain names.


Table of Contents

Sissejuhatus

Kuidas tellida domeeninimedele veebisertifikaate

Tartu Ülikool kasutab veebilehtedele sertifikaatide tellimiseks kahte sertifitseerimisteenuse pakkujat:

LetsEncrypt - tasuta teenus mis nõuab veebiserveris sertifikaadi uuendamise utiliidi paigaldamist. See on vajalik, sest LetsEncrypt väljastab ainult paarikuulise kehtivusajaga sertifikaate. Veebileht peab sertifikaadi tellimiseks ja uuendamiseks olema avatud kogu Internetile;

  • Sectigo - TÜ jaoks tasuta teenus millega tohib sertifikaate tellida ainult Tartu Ülikooli nimele registreeritud domeeninimedele. Sertifikaat kehtib ühe aasta, tellida saab nii "käsitsi" teenusepakkuja veebiportaalis kui ka skriptidega üle ACME protokolli.
    • CPanel platvormil töötavas tasulises veebimajutuse serveris webhost.ut.ee on võimalik valida mõlemat lahendust, vaikimisi seadistakse LetsEncrypt
    ;
    • .
    • Drupal põhises tasuta veebimajutuses sisu.ut.ee on kasutusel ainult LetsEncrypt
    ;
    • .
    • Kõigil ülejäänud juhtudel võib vastavalt oma oskusele seadistada kas LetsEncrypt või tellida sertifikaadi Sectigo CA kaudu
    ;
    • Sectigo CA sertifikaate tellivad enamasti ITO ja HPC töötajad, kuid põhjendatud vajaduse puhul teeme Sectigo sertifikaaditellimise konto ka ITO-välistele TÜ töötajatele.

    LetsEncrypt

    LetsEncrypt - tasuta teenus mis nõuab veebiserveris sertifikaadi uuendamise utiliidi paigaldamist. See on vajalik, sest LetsEncrypt väljastab ainult paarikuulise kehtivusajaga sertifikaate. Veebileht peab sertifikaadi tellimiseks ja uuendamiseks olema avatud kogu Internetile;

    Sectigo

    Sectigo - TÜ jaoks tasuta teenus millega tohib sertifikaate tellida ainult Tartu Ülikooli nimele registreeritud domeeninimedele. Sertifikaat kehtib ühe aasta, tellida saab nii "käsitsi" teenusepakkuja veebiportaalis kui ka skriptidega üle ACME protokolli.

    Sertifikaadi tellimine Sectigo CA portaalist

    1. Sectigo CA konto olemasolul tuleb sertifikaadi tellimiseks tekitada võtmefail ning sertifikaaditellimuse fail.

    2. Võtmefaili loomiseks sobib Linuxi käsurea käsk:

      Code Block
      openssl genrsa -out <id>.key 2048
    Kus

    1. <id> tuleb asendada identifitseeriva nimega, näiteks sobib selleks domeeninimi ja tellimise aasta, nagu "www.ut.ee_2021". Käsu tulemusena tekib fail <id>.key.

    2. Sertifikaaditellimise faili loomiseks sobib käsk:

      Code Block
      openssl req -new -sha256 -key <id>.key -out <id>.csr -subj '/CN=<domeeninimi>'
    Kus

    1. <id> on sama mis võtme loomisel. Käsu tulemusena tekib fail <id>.csr

    2. Seejärel tuleb logida Sectigo veebiportaali ning valida menüüst:
      Certificates → SSL Certificates → "+" → Using a Certificate Signing Request (CSR) → Next

    3. Rippmenüüst:
      Organization -> Tartu Ülikool
      Department -> Tartu Ülikooli vastav allüksus
      Certificate Profile -> "GÉANT OV SSL" või "GÉANT OV Multi-Domain", kui sertifikaat katab rohkem kui ühe domeeninime

    4. Vajuta Next.

    5. Tekib ala kuhu saab hiirega lohistada eelnevalt loodud <id>.csr faili või kopeerida selle faili sisu tekstina.

    6. Vajuta Next.

    7. Multi-Domain puhul saab nüüd lisada "Subject Alternative Names" lahtrisse lisadomeeninimesid

    8. Vajuta Next → OK.

    Mõne aja möödudes saadab Sectigo CA e-postiga juhised kuidas värskelt loodud sertifikaat alla laadida. Kui e-kiri ei ole tunni jooksul saabunud, siis on juba põhjust arvutiabi poole pöörduda.

    How to order the web certificates for domain names

    Arvutiabi telefoninumber: 737 5500

    (lühinumber: 5500)