Inhaltspezifische Aktionen

Installation von Server-Zertifikaten

Hinweise zur Installation von TLS/SSL-Zertifikaten auf Servern

Format auswählen

Sie erhalten nach Erzeugung des Zertifikats eine Info-Mail, die Links zu Ihrem und den CA-Zertifikaten in verschiedenen Varianten (Format [PEM, DER], Reihenfolge [mit CAs auf- oder absteigend] etc.) enthält.

Bitte wählen Sie für Ihren Dienst das richtige aus.

TLS-Konfiguration Ihres Dienstes

Linux

Für viele Unix-Dienste (Apache, nginx, Tomat etc.) bietet der Mozilla SSL Configuration Generator die Möglichkeit, auf Dienst- und OpenSSL-Version passende Config-Datei-Schnipsel zu erstellen.

Das HRZ empfiehlt dabei die Verwendung der "Intermediate"-Config.

Sofern Ihr Zertifikat die Extension "OCSP Must Staple" (per 03/2024 von der  IT-Sicherheit des HRZ nicht empfohlen) besitzt, müssen Sie beim Config Generator die Option "OCSP Stapling" auswählen

Bitte passen Sie die Config auf folgende Empfehlung an (Empfehlung 11/2022 der IT-Sicherheit des HRZ):

  • TLS-Versionen: TLS 1.3, TLS 1.2,
  • Empfohlene Cipher Suites: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
  • Optionale Cipher Suites: TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_256_GCM_SHA384

(siehe "Technische Richtlinie TR-02102-4 Kryptographische Verfahren: Empfehlungen und Schlüssellängen" des BSI).

Windows

Für Windows Server kann Ihnen das Tool IIS Crypto von Nartac Software helfen.

Testen des Dienstes

Von Extern

Sofern Ihr Dienst von extern erreichbar ist, können Sie Ihren Server vom SSL Lab Server Test testen lassen, setzen Sie dabei bitte den Haken "Do not show the results on the boards".

Dieser Test vergibt eine Note, zeigt Schwachstellen auf und gibt Hinweise zur Optimierung.

Von intern

Ist Ihr Dienst nicht von extern erreichbar, sollten Sie zumindest von intern testen

testssl.sh

Homepage: https://github.com/drwetter/testssl.sh; Pakete in Debian und anderen Distributionen verfügbar.

Testssl.sh sucht ebenfalls nach Schwachstellen, ist aber weniger umfangreich als SSL Labs.

Test OCSP-Stapling

Wenn Sie OCSP-Stapling konfiguriert haben (per 03/2024 von der  IT-Sicherheit des HRZ nicht empfohlen), können Sie testen, ob eine aktuelle Responde ausgeliefert wird:

user@host:~$ openssl s_client -status my-host.sonst.uni-giessen.de:443
CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust ECC Certification Authority
verify return:1
depth=1 C = NL, O = GEANT Vereniging, CN = GEANT OV ECC CA 4
verify return:1
depth=0 C = DE, ST = Hessen, O = Justus-Liebig-Universit\C3\A4t Gie\C3\9Fen, OU = HRZ - Test Ba, CN = my-host.sonst.uni-giessen.de
verify return:1
OCSP response: 
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: EDB4A0336A1B0891B6BDFA4192BD9AABAB63F453
    Produced At: Nov 24 11:51:56 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 78CD2396C8BF4E8200AA11A7953F80C2CD4D3912
      Issuer Key Hash: EDB4A0336A1B0891B6BDFA4192BD9AABAB63F453
      Serial Number: 150ADF592B605FA64463C98EDB038C2F
    Cert Status: good
    This Update: Nov 24 11:51:56 2022 GMT
    Next Update: Dec  1 11:51:55 2022 GMT
        Response Single Extensions:
            CT Certificate SCTs: 
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : AD:F7:BE:FA:7C:FF:10:C8:8B:9D:3D:9C:1E:3E:18:6A:
                                B4:67:29:5D:CF:B1:0C:24:CA:85:86:34:EB:DC:82:8A
                    Timestamp : Mar 28 13:25:05.227 2022 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:CE:E2:5A:23:C5:A3:02:03:CD:87:AF:
                                CB:37:0C:B3:5E:9C:90:D3:1B:EC:C3:9F:63:C5:55:1B:
                                DE:D1:91:52:90:02:21:00:87:1F:1B:41:2B:F1:2C:FA:
                                AE:2A:05:6F:B9:70:C9:49:82:92:B5:CD:37:41:CC:E6:
                                C0:A9:F7:ED:7E:0D:D6:70
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 7A:32:8C:54:D8:B7:2D:B6:20:EA:38:E0:52:1E:E9:84:
                                16:70:32:13:85:4D:3B:D2:2B:C1:3A:57:A3:52:EB:52
                    Timestamp : Mar 28 13:25:05.182 2022 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:44:02:20:2D:B0:BD:19:3D:AF:69:58:BC:E4:AE:94:
                                51:C0:B1:ED:0A:06:5B:61:B0:1F:D0:FD:65:74:81:01:
                                F8:FB:46:01:02:20:5A:6C:BA:64:6F:D2:40:8B:26:48:
                                42:87:FE:1D:46:7F:2B:FF:C8:0E:64:17:B1:EE:94:7D:
                                4B:B5:95:C2:3E:CA

    Signature Algorithm: ecdsa-with-SHA256
         30:45:02:21:00:b7:e1:86:6f:20:12:31:bf:45:06:58:b3:7f:
         63:5f:d9:83:f7:65:3e:a7:ec:b5:7a:c2:60:ae:90:e2:ce:68:
         87:02:20:7b:5b:a3:ae:7c:e0:7d:ea:b3:8a:be:65:99:18:fb:
         72:0f:df:cb:00:0a:bc:a2:30:af:ff:35:61:6f:cb:54:ee
======================================
---
Certificate chain
 0 s:C = DE, ST = Hessen, O = Justus-Liebig-Universit\C3\A4t Gie\C3\9Fen, OU = HRZ - Test Ba, CN = my-host.sonst.uni-giessen.de
   i:C = NL, O = GEANT Vereniging, CN = GEANT OV ECC CA 4
 1 s:C = NL, O = GEANT Vereniging, CN = GEANT OV ECC CA 4
   i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust ECC Certification Authority
 2 s:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust ECC Certification Authority
   i:C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
---
Server certificate
-----BEGIN CERTIFICATE-----
MIID4zCCA4igAwIBAgIQFQrfWStgX6ZEY8mO2wOMLzAKBggqhkjOPQQDAjBEMQsw
...