Server-Zertifikate
Die FH Aachen nutzt das PKI-Angebot (TCS) des DFN:
https://www.pki.dfn.de/geant-trusted-certificate-services/
Für Beschäftigte der FH Aachen gibt es die Möglichkeit einen ACME-Account zu beantragen, mit dem selbstständig Serverzertifikate generiert werden können.
Hierfür muss vorab ein Antrag unterschrieben und im Ticketsystem hochgeladen werden. Antrag_ACME-Account_FHAachen.pdf
Bitte erstellen Sie unter https://hilfecenter.fh-aachen.de ein Ticket mit dem Titel "ACME-Account" und fügen dort den unterschriebenen Antrag bei.
Zudem müssen Sie uns im Ticket die gewünschte Domain "subdomain.fh-aachen.de" mitteilen.
Anleitung
Zum Generieren der Zertifikate können folgende Anleitungen genutzt werden. Grundsätzlich kann jeder beliebige ACME-Client genutzt werden der auch EAB (External Account Binding) unterstützt:
Linux
- Unter dem entsprechenden User / home Verzeichnis das ACME Skript installieren mit: curl get.acme.sh | sh - In der .bashrc den Verweis auf die Skripte eintragen source ~/.bashrc - Testen ob das Skript funktionsfähig ist acme.sh --version - Zertifizierungsstelle festlegen acme.sh --set-default-ca --server acme.sectigo.com/v2/OV - Registrierung und anlegen eines Domain Verzeichnisses acme.sh --register-account --eab-kid xxx --eab-hmac-key xxx --email <Ihre-Mailadresse> --domain xxx.fh-aachen.de --webroot /home/<user>/.acme.sh/<domain>.fh-aachen.de - Zertifikat erstellen, bei einem Domainnamen: acme.sh --issue --eab-kid xxx --eab-hmac-key xxx --email <Ihre-Mailadresse> --webroot /home/<user>/.acme.sh/<domain>.fh-aachen.de --domain <domain>.fh-aachen.de - Zertifikat erstellen, bei mehreren Domainnamen: acme.sh --issue --eab-kid xxx --eab-hmac-key xxx --email <Ihre-Mailadresse> --webroot /home/<user>/.acme.sh/<domain>.fh-aachen.de --domain <domain1>.fh-aachen.de --domain <domain2>.fh-aachen.de
Windows
# Einmalig Module installieren # # Festlegen, dass die Powershell mindestens TLS 1.2 nutzt # # [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # # # Dot Net Version 4.8 installieren siehe # go.microsoft.com/fwlink/ # # Nutze das System-AppData-Verzeichnis $env:POSHACME_HOME = 'C:\Windows\System32\config\systemprofile\AppData\Local\Posh-ACME' Install-Module -Name Posh-ACME Install-Module -Name Posh-ACME.Deploy # Sectigo Server setzen Set-PAServer -DirectoryUrl "https://acme.sectigo.com/v2/OV" # Variablen für KID und HMAC initialisieren $eabKID='xxxxxxxxxxx' $eabHMAC='xxxxxxxxxxxxxxxxxxxxxxxxxx' Bei einem Domainnamen: ----------------------- New-PAAccount -ExtAcctKID $eabKID -ExtAcctHMACKey $eabHMAC -Contact '<Ihre-Mailadresse>' -AcceptTOS New-PACertificate <domain>.fh-aachen.de -Contact <Ihre-Mailadresse> -Install Bei mehreren Domainnamen: ------------------------- New-PAAccount -ExtAcctKID $eabKID -ExtAcctHMACKey $eabHMAC -Contact '<Ihre-Mailadresse>' -AcceptTOS New-PACertificate <domain>.fh-aachen.de,<domain2>.fh-aachen.de -Install Das Zertifikat sollte unter Windows in folgendem Verzeichnis liegen: --------------------------------------------------------------------- "C:\Windows\System32\config\systemprofile\AppData\Local\Posh-ACME\acme.sectigo.com\$eabKID\Domainname\cert.* # Posh-ACME setzt für .pfx Dateien ein Standardpasswort: "poshacme"