Let's Encrypt
Zertifikate von Let's Encrypt sind aufgrund der möglichen Automation mit ACME die von uns empfohlene Variante, um für KIT-Server Zertifikate zu erhalten. In den allermeisten Fällen macht es keinen Unterschied, ob ein Zertifikat domainvalidiert (DV, bei Let's Encrypt) oder organistationsvalidiert (OV, KIT-CA) ausgestellt wurde, gerade beim Betrieb von Webservern.
Aus dem Internet erreichbare Server
Ist der Server öffentlich erreichbar, kann die HTTP-01 Challenge mit einem ACME-Client verwendet werden. Wir verweisen hier auf die ausführliche Dokumentation von Let's Encrypt, da die Details sehr stark von ihren konkreten Diensten abhängen.
Nicht aus dem Internet erreichbare Server
Wenn Let's Encrypt den zu zertifizierenden Dienst nicht aus dem Internet erreichen kann, muss die DNS-01 Challenge verwendet werden. Am KIT werden DNS-Einträge über NETVS verwaltet. Dafür hat die KIT-CA zusammen mit der Netzabteilung ein Plugin für ACME-Clients entwickelt, das automatisch die benötigten Challenges im KIT-DNS einträgt und die globale Verfügbarkeit überprüft. Das Vorgehen dafür ist ausführlich auf https://docs.ca.kit.edu/acme4netvs/en dokumentiert.
Übergang von DFN-CA Global zu Let's Encrypt
Wenn Ihr DFN-CA Global Zertifikat abläuft, Sie aber noch Zeit für die Einrichtung von ACME brauchen, können Sie unter https://transition.ca.kit.edu mit einem CSR ein 3 Monate gültiges Let's Encrypt Zertifikat für Ihre Domain erhalten.
Anleitungen zur Erstellung eines CSR:
- Schlüsselerzeugung und Antragsgenerierung mit OpenSSL (Mac, Linux, Windows)
- Schlüsselerzeugung und Antragsgenerierung mit GnuTLS (Mac, Linux, Windows)
- Schlüsselerzeugung und Antragsgenerierung mit keytool (Java)
- Schlüsselerzeugung und Antragsgenerierung mit certutil (Windows-Bordmittel)