Szegedi Tudományegyetem - Ahol tudás és szándék találkozik

Tanúsítvány igénylése Windows operációs rendszerben

Az igénylés részletes menete egy példán bemutatva megtalálható a KIFÜ (volt NIIF) honlapján. Itt csak az SZTE, illetve Windows specifikus elemeket emeljük ki.

Windows operációs rendszert futtató szerverek esetében is alkalmazható az OpenSSL programmal történő igénylés. (Az OpenSSL program más gépen, akár más operációs rendszeren is futtatható, csak a tanúsítvány telepítését kell az adott szerveren végezni.)
Az OpenSSL programról részletes információ található a www.openssl.org weboldalon.
A program Windows alatt futtatható bináris formájának installáló anyaga elérhető a www.slproweb.com/products/Win32OpenSSL.html lapon. Szükség lehet az ugyanott található Visual C++ Redistributable Package installáló anyagának letöltésére is. Az ESZK által kipróbált, megfelelően működő verziók: Win32OpenSSL_Light-0_9_8j.exe, vcredist_x86.exe.
Az installálás a letöltött exe állományok futtatásával történik. A program használata az installálási könyvtár \bin alkönyvtárából történhet.

1. Igénylés (CSR) generálása

Az igénylés generálásának részletes leírása megtalálható a KIFÜ honlapján.

• Töltsük le a honlapon található konfigurációs filet, mentsük el pl. openssl.cfg néven. (Windowsban ne használjuk a .cnf kiterjesztést!)
  
  
• Parancssorból futtassuk az OpenSSL programot az alábbi paraméterekkel:
  

  openssl req -new -newkey rsa:2048 -out www.valami.u-szeged.hu.csr -keyout www.valami.u-szeged.hu.key -nodes -config openssl.cfg
  

  
  
• Az alábbi kérdésekre kell választ adni:
  

  Country Name (Orszag neve, 2 betus kod) [HU]:
   Organization Name (Intezmeny neve, pl. SZTE) [SZTE]:
   Common Name (A szerver FQDN neve a szolgaltatashoz) []:www.valami.u-szeged.hu
  

  A HU attribútumot változatlanul hagyjuk, az Organization Name rovatba beírjuk az intézmény nevét.
  Ügyeljünk arra, hogy sehol ne használjunk ékezetes karaktereket!
  A parancs sikeres kiadása után a privát kulcs a www.valami.u-szeged.hu.key fileba, a tanúsítvány kérés pedig a www.valami.u-szeged.hu.csr fileba kerül.
  
  
• Ellenőrizzük a tanúsítvány kérést az alábbi paranccsal:
  

  openssl req -in www.valami.u-szeged.hu.csr -noout -verify -text
  

  A privát kulcsot célszerű elmenteni és levédeni a jogtalan hozzáférés ellen.
  

2. Igénylés feladása és egységvezetői jóváhagyatása a Moduloban.

Az aláírt tanúsítványt az igénylő az általa megadott e-mail címre kapja meg.

3. A tanúsítvány és a privát kulcs exportálása pfx állományba

Az igény generálásakor keletkezett privát kulcsot és az aláírt tanúsítványt az alábbi paranccsal konvertálhatjuk pfx fileba:

openssl pkcs12 -in www.valami.u-szeged.hu.pem -inkey www.valami.u-szeged.hu.key -export -out www.valami.u-szeged.hu.pfx

A pfx file tartalmának védelmében meg kell adni egy jelszót.

4. A tanúsítvány telepítése

A pfx formátumú tanúsítványt szükség esetén a megfelelő szerverre kell másolni, s ott a szolgáltatásnak megfelelően telepíteni.

a.) IIS 6 webszerver esetén:

• A Sajátgép (My Computer) objektum Kezelés (Manage) menüpontjában a Szolgáltatások és kiszolgáló alkalmazások (Services and Applications) / Internet Information Service / Webhelyek (Web Sites) alatt válasszuk ki a megfelelő webhelyet, s lépjünk annak Tulajdonságok (Properties) menüpontjában a Könyvtárbiztonság (Directory security) fülre. A Kiszolgáló tanúsítványa ... (Server Certificate ...) gombra kattintva indítsuk el a varázslót.
  
  
• Amennyiben a webhelyen már volt tanúsítvány, azt célszerű az exportálás funkcióval elmenteni, majd a varázsló újraindítása után távolítsuk el a régi tanúsítványt, s ismét indítsuk újra a varázslót.
  
  
• Válasszuk a Tanúsítvány importálása .pfx állományból lehetőséget, s adjuk meg az előzőekben létrehozott pfx állományt. A betöltéshez meg kell adni a pfx állomány exportálásakor használt jelszót.
  

b.) IIS 7 alatti webszerver esetén:

• A Start menüből a Felügyeleti eszközök (Administrative Tools) csoportból indítsuk el az Internet Information Services (IIS) kezelője / Manager programot.
  
  
• A bal oldali panelon kattintsunk a gép nevére, majd a középső panelon a Kiszolgálói tanúsítványok (Server Certificates) ikonra duplán kattintva indítsuk el a tanúsítványkezelőt. A jobb oldali panelon az Importálás... (Import...) tevékenység választása után adjuk meg az előzőekben létrehozott pfx állományt és a pfx állomány exportálásakor használt jelszót.
  
  
• A bal oldali panelon a gép neve alatti fastruktúrában a Helyek (Sites) ágon válasszuk ki a megfelelő webhelyet. A jobb oldali panelon indítsuk el a Kötések... (Bindings...) tevékenységet. A megfelelő https típusú bejegyzést szerkesztve válasszuk ki az előbb betöltött tanúsítványt.
  

5. Közbenső és gyökér tanúsítványok telepítése

A közbenső (intermediate) és gyökér (root) tanúsítványok telepítését is célszerű végrehajtani. Ezek a Sectigotól (Certificate Services Manager) megkapott levélben megtalálhatók.

Például IIS 6 webszerver esetén:
A Windows szerverek tanúsítványtára tartalmazza az Intermediate(s)/Root only gyökér tanúsítványt, így az IIS 6-hoz általában elegendő a Root/Intermediate(s) only tanúsítványt telepíteni.

• Másoljuk ki a levélből a Root/Intermediate(s) only tanúsítványt.
  
  
• Indítsuk el az mmc programot. A Fájl (File) menüből válasszuk ki a Beépülő modul hozzáadása/eltávolítása (Add/Remove Snap-in) pontot. A Hozzáadás (Add) gomb megnyomására megjelenő készletből válasszuk ki a Tanúsítványok (Certificates) elemet. A hozzáadás során válasszuk a Számítógépfiók (Computer Account), majd a Helyi számítógép (Local computer) opciót.
  
  
• Az mmc program bal oldali ablakában megjelenő fastruktúrában nyissuk ki az előbb hozzáadott elemet. Közbenső tanúsítvány esetén a Közbenső szintű hitelesítésszolgáltatók (Intermediate Certification Authorities) elemre [gyökér tanúsítvány esetén a Megbízható legfelső szintű hitelesítésszolgáltatók (Trusted root Certification Authorities) elemre] jobb egérgombbal kattintva válasszuk ki Az összes feladat (All tasks) / Importálás (Import) menüpontot.
  
  
• Válasszuk ki a telepítendő tanúsítványt tartalmazó filet.