Instrukcja pozyskiwania certyfikatu W celu pozyskania certyfikatu TCS należy: 1. wypełnić wniosek z załącznika nr.1. 2. wygenerować klucz prywatny oraz plik CSR (ang. Certificate Signing Request), który jest elektronicznym wnioskiem o wydanie certyfikatu. 3. przesłać do COI na adres tcs@coi.pw.edu.pl: - plik z wypełnionym wnioskiem (załącznik nr 1), - plik CSR. 4. przesłać do COI (GG pok. 319) podpisaną przez osoby upoważnione papierową wersję załącznika nr. 1. Dalsza procedura związana z pozyskiwaniem certyfikatu jest po stronie COI. Po weryfikacji danych, urząd certyfikujący (COMODO) wystawia podpisany certyfikat, a na adres email osoby wskazanej we wniosku jako osoba wnioskująca zostaje wysłany email z adresem strony, z której można pobrać certyfikat. Po pobraniu certyfikatu administrator we własnym zakresie dokonuje instalacji certyfikatu. Uwaga: Informacje dotyczące certyfikatów TCS oraz ich pozyskiwania można znaleźć na stronie https://tcs.pionier.gov.pl, przy czym zwracamy uwagę, że w przypadku instrukcji pozyskiwania certyfikatów, zakładka Wypełnij wniosek o certyfikat opatrzona jest hasłem i dostępna tylko dla upoważnionych pracowników COI w celu dopełniania procedury, o czym wyżej.
Przykłady 1. Przykładowy wniosek o certyfikat SSL TCS. Warszawa, dn. 2013.03.05 Pieczątka Jednostki Wniosek o certyfikat SSL TCS Jednostka PW: Dział Nauczania Testowego... Nazwa serwera (CN Common Name) dla którego ma być wystawiony certyfikat: adm.test.pw.edu.pl... Serwer (zaznaczyć): WWW serwer pocztowy Ważność certyfikatu (zaznaczyć): 1 rok 2 lata 3 lata Administrator serwera osoba, która będzie figurować jako osoba wnioskująca w wypełnionym wniosku w formie elektronicznej: Imię i nazwisko: Jan Kowalski... E-mail: jkowalski@test.pw.edu.pl Telefon kontaktowy: +48 22 100 0000 E-mail do weryfikacji domeny: jeden z istniejących i obsługiwanych adresów: admin@test.pw.edu.pl administrator@... hostmaster@... postmaster@... webmaster@... Podpis Pełnomocnika ds. Sieci Komputerowej. Pieczątka i podpis Kierownika Jednostki (lub osoby upoważnionej)
2. Przykład tworzenia klucza prywatnego i pliku CSR W trakcie generowania CSRa zostaniemy poproszeni o wprowadzenie następujących danych: Country Name PL State or Province Name mazowieckie Locality Name Warszawa (ew. Plock) Organization Name Politechnika Warszawska Organizational Unit Name (jednostka) Należy wpisać nazwę wydziału lub nazwę wydziału i instytutu oddzielone przecinkiem. Nazwa nie może przekraczać 50 znaków; w przypadku dłuższej nazwy należy użyć skrótu jednostki, zgodnie z przejętymi w PW zasadami, np. WEiTI, IAiIS lub Wydzial Elektroniki i Technik Informacyjnych. Uwaga: w tekście nie mogą występować polskie litery Common Name (nazwa serwera) Należy wpisać nazwę serwera dla którego ma być wydany certyfikat (bez http:// czy https://) np. poczta.pw.edu.pl, ssl4.coi.pw.edu.pl lub *.coi.pw.edu.pl dla certyfikatów typu Wildcard. Email - nie wymagany W wyniku wygenerowania CSRa powstaną dwa pliki: plik zawierający klucz prywatny: klucz może być, ale nie musi, zabezpieczony hasłem; plik zawierający klucz publiczny, dane certyfikatu, ewentualne hasło zabezpieczające (ang.: challenge password). Sposób generowania klucza i pliku CSR jest zależny od wykorzystywanego oprogramowania i systemu operacyjnego. Poniżej przedstawiono przykład wykorzystujący oprogramowanie OpenSSL. Wygenerowany w ten sposób klucz prywatny nie jest zabezpieczony hasłem, tak samo nie zabezpieczamy hasłem pliku CSR. Klucz będzie miał długość 2048 bitów. Wartość tę można zwiększyć. Zaleca się stosowanie klucza o długości 4096 bitów.
$ openssl req -new -newkey rsa:2048 -nodes -keyout ssl4.coi.pw.edu.pl.key -out ssl4.coi.pw.edu.pl.csr Generating a 2048 bit RSA private key....+++...+++ writing new private key to 'ssl4.coi.pw.edu.pl.key' You are about to be asked to enter information that will be incorporatedinto your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:mazowieckie Locality Name (eg, city) []:Warszawa Organization Name (eg, company) [Internet Widgits Pty Ltd]:Politechnika Warszawska Organizational Unit Name (eg, section) []:Centralny Osrodek Informatyki Common Name (eg, YOUR name) []:ssl4.coi.pw.edu.pl Email Address []:<empty> Please enter the following 'extra' attributesto be sent with your certificate Request A challenge password []:<empty> An optional company name []:<empty> Kolorem czerwonym zaznaczono długość generowanego klucza. Kolorem niebieskim zaznaczono nazwy plików, do których zostaną zapisane odpowiednio: klucz prywatny oraz CSR. Kolorem zielonym zaznaczono wartości wprowadzone w trakcie generowania CSRa. Wartość <empty> oznacza, że nie wprowadzono żadnej wartości.
3. Typy certyfikatów - przykład dla wielu domen Certyfikaty, które można pozyskać są to certyfikaty typu Multi Domain dające możliwość zabezpieczenia do 100 domen na jednym serwerze lub certyfikaty typu Wildcard służące do zabezpieczania nieograniczonej liczby poddomen na wielu serwerach. Poniżej przedstawiono dwa sposoby generowania CSRa dla certyfikatu typu Multi Domain na przykładzie serwera www6.coi.pw.edu.pl wraz z dodatkowymi nazwami: ssl6.coi.pw.edu.pl, ects.coi.pw.edu.pl, rekrutacja.coi.pw.edu.pl, rekrutacja.pw.edu.pl oraz www.ects.pw.edu.pl. 1. Sposób z linii poleceń: $ openssl req -new -nodes -newkey rsa:2048 -keyout www6.coi.pw.edu.pl.key -out \ www6.coi.pw.edu.pl.csr -subj "/C=PL/ST=mazowieckie/L=Warszawa/O=Politechnika \ Warszawska/OU=Centralny Osrodek Informatyki/CN=www6.coi.pw.edu.pl\ /CN=ssl6.coi.pw.edu.pl/CN=ects.coi.pw.edu.pl/CN=rekrutacja.coi.pw.edu.pl\ /CN=rekrutacja.pw.edu.pl/CN=www.ects.pw.edu.pl" 2. Sposób wykorzystujący wcześniej przygotowany plik konfiguracyjny do openssl'a: Plik konfiguracyjny (np. openssl.cnf) w sekcji [ req_distinguished_name ] może zawierać więcej wpisów dotyczących commonname oraz commonname_default. Poniżej sekcja z przygotowanego pliku openssl.cnf dla powyższego przykładu: [ req_distinguished_name ] countryname = Country Name (2 letter code) countryname_default = PL countryname_min = 2 countryname_max = 2 stateorprovincename stateorprovincename_default localityname localityname_default 0.organizationName 0.organizationName_default = State or Province Name (full name) = mazowieckie = Locality Name (eg, city) = Warszawa = Organization Name (eg, company) = Politechnika Warszawska organizationalunitname = Organizational Unit Name (eg, section) organizationalunitname_default = Centralny Osrodek Informatyki 0.commonName 0.commonName_default 1.commonName 1.commonName_default 2.commonName 2.commonName_default 3.commonName 3.commonName_default 4.commonName 4.commonName_default 5.commonName = Common Name (eg, YOUR name) = www6.coi.pw.edu.pl = 2nd Common Name (eg, YOUR name) = ssl6.coi.pw.edu.pl = 3nd Common Name (eg, YOUR name) = ects.coi.pw.edu.pl = 4nd Common Name (eg, YOUR name) = rekrutacja.coi.pw.edu.pl = 5nd Common Name (eg, YOUR name) = rekrutacja.pw.edu.pl = 6nd Common Name (eg, YOUR name)
5.commonName_default = wwww.ects.pw.edu.pl emailaddress = Email Address emailaddress_default = emailaddress_max = 64 Następnie generujemy CSR wykorzystując przygotowany plik openssl.cnf potwierdzając wszystkie pytania wartościami domyślnymi: $ openssl req -config./openssl.cnf -new -newkey rsa:2048 -nodes -keyout \ www6.coi.pw.edu.pl.key -out www6.coi.pw.edu.pl.csr Generating a 2048 bit RSA private key...+++...+++ writing new private key to 'www6.coi.pw.edu.pl.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [PL]:<empty> State or Province Name (full name) [mazowieckie]:<empty> Locality Name (eg, city) [Warszawa]:<empty> Organization Name (eg, company) [Politechnika Warszawska]:<empty> Organizational Unit Name (eg, section) [Centralny Osrodek Informatyki]:<empty> Common Name (eg, YOUR name) [www6.coi.pw.edu.pl]:<empty> 2nd Common Name (eg, YOUR name) [ssl6.coi.pw.edu.pl]:<empty> 3nd Common Name (eg, YOUR name) [ects.coi.pw.edu.pl]:<empty> 4nd Common Name (eg, YOUR name) [rekrutacja.coi.pw.edu.pl]:<empty> 5nd Common Name (eg, YOUR name) [rekrutacja.pw.edu.pl]:<empty> 6nd Common Name (eg, YOUR name) [www.ects.pw.edu.pl]:<empty> Email Address []:<empty> Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:<empty> An optional company name []:<empty> Wartość <empty> oznacza, że nie wprowadzono żadnej wartości (czyli zaakceptowano wartości domyślne). W obu przypadkach możemy sprawdzić poprawność wygenerowanego CSRa za pomocą polecenia (upewniając się, że nie wdarły się nigdzie niepowołane znaki np. spacje, etc.): $ openssl req -text -in www6.coi.pw.edu.pl.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=PL, ST=mazowieckie, L=Warszawa, O=Politechnika Warszawska, OU=Centralny Osrodek Informatyki, CN=www6.coi.pw.edu.pl, CN=ssl6.coi.pw.edu.pl, CN=ects.coi.pw.edu.pl, CN=rekrutacja.coi.pw.edu.pl, CN=rekrutacja.pw.edu.pl, CN=www.ects.pw.edu.pl Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:e0:ae:76:0f:85:42:4c:34:60:81:7b:63:48:eb: 4c:01:8b:08:70:27:fa:11:cf:20:6a:46:3e:09:6f: 72:3d:a6:eb:c7:7a:4f:b0:2a:d3:70:81:4c:bb:80: a7:54:3a:48:19:ea:ff:f3:ef:15:77:35:5f:8d:79: 62:37:a9:47:d3:48:17:9d:0f:f4:8f:76:52:29:4a: ec:14:ed:10:62:f5:da:72:9a:42:e7:e3:c4:4a:89: 41:70:64:8b:f9:27:64:aa:60:18:9d:a2:c4:01:28: fd:47:d7:4c:a3:14:cf:d2:a2:c7:e3:3a:eb:9b:2e: 1f:64:18:a5:21:92:a7:10:80:06:97:cd:ec:5f:18:
70:d7:1e:ca:b1:07:4d:83:b1:06:26:c6:ac:d9:fa: ee:6a:c3:31:eb:dd:56:ff:14:a8:2e:40:28:12:a7: 29:d4:7f:4e:90:e2:15:49:70:29:74:f5:08:ae:9e: a7:8a:4c:70:0f:05:3f:a5:6a:8c:44:bb:b5:4f:59: 8c:19:bf:c8:06:78:4c:40:d0:b2:52:30:ba:d3:ac: 6b:41:0b:d7:8a:ed:2d:e3:ed:c3:18:f6:71:14:3b: 2d:0a:e8:49:18:dd:d0:bb:2c:f1:dc:d2:a9:68:7b: 4c:1c:0a:7d:1d:ae:5c:a0:59:7e:37:ff:c2:0d:57: d4:bf Exponent: 65537 (0x10001) Attributes: a0:00 Signature Algorithm: sha1withrsaencryption 26:35:d9:ce:4e:9c:ba:c1:d6:6c:bb:7b:7d:4a:25:be:2b:00: a0:84:bd:ff:be:6d:a3:54:79:c3:10:09:30:c5:0b:60:4d:bb: f0:dc:3a:b3:6c:09:04:df:8f:c3:5c:3d:bc:1e:c0:b9:b5:34: 29:8e:5f:8c:bd:15:b9:76:a0:1e:57:b1:d7:33:30:2b:a6:5a: 51:8a:a2:53:c6:97:32:b7:20:1f:f1:48:59:42:3a:af:a6:a5: b1:36:e4:1c:da:cd:4b:df:77:d9:0c:4d:15:19:99:f9:13:1b: d6:87:42:0e:ab:99:ac:07:00:12:cd:52:03:e7:a5:1b:a3:b4: 2d:d1:b3:e5:04:10:63:42:06:92:39:5b:3f:2d:18:b2:c9:df: 8f:f0:1e:8f:72:3f:23:f9:32:80:e3:88:39:d8:1b:8b:b6:68: b6:df:af:03:e2:04:33:7f:7e:5a:64:6e:92:b9:db:cc:83:b4: 80:02:22:a3:eb:26:4b:8a:af:36:49:cf:12:a8:56:c5:a5:f2: 99:23:a4:f8:bd:7b:b9:5c:7c:f4:c5:21:76:39:19:61:09:4f: 50:a9:42:33:b5:75:e5:0b:41:c0:60:6a:05:c0:fc:80:11:42: d2:df:c4:38:ed:94:1b:52:a4:47:27:a6:29:e0:4c:f2:2b:18: 56:4e:fa:6e -----BEGIN CERTIFICATE REQUEST----- MIIDfTCCAmUCAQAwggE2MQswCQYDVQQGEwJQTDEUMBIGA1UECBMLbWF6b3dpZWNr awuxetapbgnvbactcfdhcnn6yxdhmsawhgydvqqkexdqb2xpdgvjag5pa2egv2fy c3phd3nrytemmcqga1uecxmdq2vudhjhbg55ie9zcm9kzwsgsw5mb3jtyxr5a2kx GzAZBgNVBAMTEnd3dzYuY29pLnB3LmVkdS5wbDEbMBkGA1UEAxMSc3NsNi5jb2ku chcuzwr1lnbsmrswgqydvqqdexjly3rzlmnvas5wdy5lzhuucgwxitafbgnvbamt GHJla3J1dGFjamEuY29pLnB3LmVkdS5wbDEdMBsGA1UEAxMUcmVrcnV0YWNqYS5w dy5lzhuucgwxgzazbgnvbamtend3dy5ly3rzlnb3lmvkds5wbdccasiwdqyjkozi hvcnaqebbqadggepadccaqocggebaocudg+fqkw0yif7y0jrtaglchan+hhpigpg Pglvcj2m68d6T7Aq03CBTLuAp1Q6SBnq//PvFXc1X415YjepR9NIF50P9I92UilK 7BTtEGL12nKaQufjxEqJQXBki/knZKpgGJ2ixAEo/UfXTKMUz9Kix+M665suH2QY psgspxcabpfn7f8ycnceyrehtyoxbibgrnn67mrdmevdvv8uqc5akbknkdr/tpdi FulwKXT1CK6ep4pMcA8FP6VqjES7tU9ZjBm/yAZ4TEDQslIwutOsa0EL14rtLePt wxj2crq7lqrosrjd0lss8dzsqwh7tbwkfr2uxkbzfjf/wg1x1l8caweaaaaama0g CSqGSIb3DQEBBQUAA4IBAQAmNdnOTpy6wdZsu3t9SiW+KwCghL3/vm2jVHnDEAkw xqtgtbvw3dqzbake34/dxd28hsc5ttqpjl+mvrw5dqaev7hxmzarplpriqjtxpcy tyaf8uhzqjqvpqwxnuqc2s1l33fzde0vgzn5exvwh0ioq5msbwaszvid56ubo7qt 0bPlBBBjQgaSOVs/LRiyyd+P8B6Pcj8j+TKA44g52BuLtmi2368D4gQzf35aZG6S udvmg7saaikj6yzliq82sc8sqfbfpfkzi6t4vxu5xhz0xsf2orlhcu9qquiztxxl C0HAYGoFwPyAEULS38Q47ZQbUqRHJ6Yp4EzyKxhWTvpu -----END CERTIFICATE REQUEST----- W porównaniu z poprzednią umową zawartą z Konsorcjum PIONIER w ramach inicjatywy SCS (ang. Server Certificate Service), w inicjatywie TCS (ang. Terena Certificate Service), nie można stosować adresów IP w certyfikatach typu Multi Domain (oraz żadnych innych nazw, które nie zgadzają się z listą domen z załącznika nr 3).