Arvutiabi

Page tree

Tartu Ülikooli IT viki

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 8 Next »

Please find the English version here: Ordering web certificates for domain names.

Sissejuhatus

Tartu Ülikool kasutab veebilehtedele sertifikaatide tellimiseks kahte sertifitseerimisteenuse pakkujat, LetsEncrypt ja Sectigo:

  • Tasulises veebimajutuse serveris webhost.ut.ee on võimalik valida mõlemat lahendust, vaikimisi seadistakse LetsEncrypt.
  • Sisu.ut.ee lehtedel on kasutusel ainult LetsEncrypt.
  • Kõigil ülejäänud juhtudel võib vastavalt oma oskusele seadistada kas LetsEncrypt või tellida Sectigo CA sertifikaat ITO vahendusel.
  • Webhost.ut.ee ja sisu.ut.ee LetsEncrypt teenuse seadistavad ITO töötajad. Sectigo CA sertifikaate tellivad enamasti ITO ja HPC töötajad, kuid põhjendatud vajaduse puhul teeme Sectigo sertifikaaditellimise konto ka ITO-välistele TÜ töötajatele.

LetsEncrypt

LetsEncrypt - tasuta teenus mis nõuab veebiserveris sertifikaadi uuendamise utiliidi paigaldamist. See on vajalik, sest LetsEncrypt väljastab ainult paarikuulise kehtivusajaga sertifikaate. Veebileht peab sertifikaadi tellimiseks ja uuendamiseks olema avatud kogu Internetile;

Täpsemad juhendid leiab teenusepakkuja veebiportaalist.

Sectigo - see sektsioon on ainult neile kellel on kehtiv Sectigo sertifikaatide tellimise konto

Teenuselepingu hankija on GÉANT, Tartu ülikoolile vahendab seda HTM all toimiv EENet. Sectigo CA teenus on TÜ jaoks tasuta. Kehtivate teenusetingimuste alusel tohib Sectigo sertifikaate tellida ainult Tartu Ülikooli nimele registreeritud domeeninimedele. Sertifikaat kehtib maksimaalselt ühe aasta, tellida saab nii teenusepakkuja veebiportaali kaudu, kui ka certbot skriptidega üle ACME protokolli.

Sertifikaadi tellimine Sectigo CA portaalist

  1. Sertifikaadi tellimiseks tuleb luua võtmefail ning sertifikaaditellimuse fail.

  2. Võtmefaili loomiseks sobib Linuxi käsurea käsk:

    openssl genrsa -out <id>.key 2048

    <id> tuleb asendada identifitseeriva nimega, näiteks sobib selleks domeeninimi ja tellimise aasta, nagu "www.ut.ee_2021". Käsu tulemusena tekib fail <id>.key.

  3. Sertifikaaditellimise faili loomiseks sobib käsk:

    openssl req -new -sha256 -key <id>.key -out <id>.csr -subj '/CN=<domeeninimi>'

    <id> on sama mis võtme loomisel. Käsu tulemusena tekib fail <id>.csr

  4. Seejärel tuleb logida Sectigo veebiportaali ning valida menüüst (vasakul ülanurgas kolm kriipsu):
    Certificates → SSL Certificates → "+" (paremal ülanurgas) → Using a Certificate Signing Request (CSR) → Next

  5. Rippmenüüst:
    Organization -> Tartu Ülikool
    Department -> Tartu Ülikooli vastav allüksus millele sertifikaati tellitakse
    Certificate Profile -> "GÉANT OV SSL" või "GÉANT OV Multi-Domain", kui sertifikaat katab rohkem kui ühe domeeninime

  6. Vajuta Next.

  7. Tekib ala kuhu saab hiirega lohistada eelnevalt loodud <id>.csr faili või kopeerida selle faili sisu tekstina.

  8. Vajuta Next.

  9. Multi-Domain puhul saab nüüd lisada "Subject Alternative Names" lahtrisse lisadomeeninimesid

  10. Vajuta Next → OK.

Mõne aja möödudes saadab Sectigo CA e-postiga juhised kuidas värskelt loodud sertifikaat alla laadida. Kui e-kiri ei ole tunni jooksul saabunud, siis on juba põhjust arvutiabi poole pöörduda.

  • No labels

This page has no comments.

Arvutiabi telefoninumber: 737 5500

(lühinumber: 5500)