Installation von Server-Zertifikaten
Hinweise zur Installation von TLS/SSL-Zertifikaten auf Servern
Format auswählen
Sie erhalten nach Erzeugung des Zertifikats eine Info-Mail, die Links zu Ihrem und den CA-Zertifikaten in verschiedenen Varianten (Format [PEM, DER], Reihenfolge [mit CAs auf- oder absteigend] etc.) enthält.
Bitte wählen Sie für Ihren Dienst das richtige aus.
TLS-Konfiguration Ihres Dienstes
Linux
Für viele Unix-Dienste (Apache, nginx, Tomat etc.) bietet der Mozilla SSL Configuration Generator die Möglichkeit, auf Dienst- und OpenSSL-Version passende Config-Datei-Schnipsel zu erstellen.
Das HRZ empfiehlt dabei die Verwendung der "Intermediate"-Config.
Sofern Ihr Zertifikat die Extension "OCSP Must Staple" (per 03/2024 von der IT-Sicherheit des HRZ nicht empfohlen) besitzt, müssen Sie beim Config Generator die Option "OCSP Stapling" auswählen
Bitte passen Sie die Config auf folgende Empfehlung an (Empfehlung 11/2022 der IT-Sicherheit des HRZ):
- TLS-Versionen: TLS 1.3, TLS 1.2,
- Empfohlene Cipher Suites: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, - Optionale Cipher Suites: TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
(siehe "Technische Richtlinie TR-02102-4 Kryptographische Verfahren: Empfehlungen und Schlüssellängen" des BSI).
Windows
Für Windows Server kann Ihnen das Tool IIS Crypto von Nartac Software helfen.
Testen des Dienstes
Von Extern
Sofern Ihr Dienst von extern erreichbar ist, können Sie Ihren Server vom SSL Lab Server Test testen lassen, setzen Sie dabei bitte den Haken "Do not show the results on the boards".
Dieser Test vergibt eine Note, zeigt Schwachstellen auf und gibt Hinweise zur Optimierung.
Von intern
Ist Ihr Dienst nicht von extern erreichbar, sollten Sie zumindest von intern testen
testssl.sh
Homepage: https://github.com/drwetter/testssl.sh; Pakete in Debian und anderen Distributionen verfügbar.
Testssl.sh sucht ebenfalls nach Schwachstellen, ist aber weniger umfangreich als SSL Labs.
Test OCSP-Stapling
Wenn Sie OCSP-Stapling konfiguriert haben (per 03/2024 von der IT-Sicherheit des HRZ nicht empfohlen), können Sie testen, ob eine aktuelle Responde ausgeliefert wird:
user@host:~$ openssl s_client -status my-host.sonst.uni-giessen.de:443
CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust ECC Certification Authority
verify return:1
depth=1 C = NL, O = GEANT Vereniging, CN = GEANT OV ECC CA 4
verify return:1
depth=0 C = DE, ST = Hessen, O = Justus-Liebig-Universit\C3\A4t Gie\C3\9Fen, OU = HRZ - Test Ba, CN = my-host.sonst.uni-giessen.de
verify return:1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: EDB4A0336A1B0891B6BDFA4192BD9AABAB63F453
Produced At: Nov 24 11:51:56 2022 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 78CD2396C8BF4E8200AA11A7953F80C2CD4D3912
Issuer Key Hash: EDB4A0336A1B0891B6BDFA4192BD9AABAB63F453
Serial Number: 150ADF592B605FA64463C98EDB038C2F
Cert Status: good
This Update: Nov 24 11:51:56 2022 GMT
Next Update: Dec 1 11:51:55 2022 GMT
Response Single Extensions:
CT Certificate SCTs:
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : AD:F7:BE:FA:7C:FF:10:C8:8B:9D:3D:9C:1E:3E:18:6A:
B4:67:29:5D:CF:B1:0C:24:CA:85:86:34:EB:DC:82:8A
Timestamp : Mar 28 13:25:05.227 2022 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:46:02:21:00:CE:E2:5A:23:C5:A3:02:03:CD:87:AF:
CB:37:0C:B3:5E:9C:90:D3:1B:EC:C3:9F:63:C5:55:1B:
DE:D1:91:52:90:02:21:00:87:1F:1B:41:2B:F1:2C:FA:
AE:2A:05:6F:B9:70:C9:49:82:92:B5:CD:37:41:CC:E6:
C0:A9:F7:ED:7E:0D:D6:70
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 7A:32:8C:54:D8:B7:2D:B6:20:EA:38:E0:52:1E:E9:84:
16:70:32:13:85:4D:3B:D2:2B:C1:3A:57:A3:52:EB:52
Timestamp : Mar 28 13:25:05.182 2022 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:44:02:20:2D:B0:BD:19:3D:AF:69:58:BC:E4:AE:94:
51:C0:B1:ED:0A:06:5B:61:B0:1F:D0:FD:65:74:81:01:
F8:FB:46:01:02:20:5A:6C:BA:64:6F:D2:40:8B:26:48:
42:87:FE:1D:46:7F:2B:FF:C8:0E:64:17:B1:EE:94:7D:
4B:B5:95:C2:3E:CA
Signature Algorithm: ecdsa-with-SHA256
30:45:02:21:00:b7:e1:86:6f:20:12:31:bf:45:06:58:b3:7f:
63:5f:d9:83:f7:65:3e:a7:ec:b5:7a:c2:60:ae:90:e2:ce:68:
87:02:20:7b:5b:a3:ae:7c:e0:7d:ea:b3:8a:be:65:99:18:fb:
72:0f:df:cb:00:0a:bc:a2:30:af:ff:35:61:6f:cb:54:ee
======================================
---
Certificate chain
0 s:C = DE, ST = Hessen, O = Justus-Liebig-Universit\C3\A4t Gie\C3\9Fen, OU = HRZ - Test Ba, CN = my-host.sonst.uni-giessen.de
i:C = NL, O = GEANT Vereniging, CN = GEANT OV ECC CA 4
1 s:C = NL, O = GEANT Vereniging, CN = GEANT OV ECC CA 4
i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust ECC Certification Authority
2 s:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust ECC Certification Authority
i:C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
---
Server certificate
-----BEGIN CERTIFICATE-----
MIID4zCCA4igAwIBAgIQFQrfWStgX6ZEY8mO2wOMLzAKBggqhkjOPQQDAjBEMQsw
...