Hej,
de som sett längden på mitt skägg gissar säkert om att jag är mer hemma
i Unix-miljö än i Windows-server-miljö, och har rätt... så det praktiska
trixandet med certifikat-begäran och -installation i Windowsmiljö är
inte min starka sida. Jag har fått följande funderingar/frågor från en
organisation som använder SUNET TCS. Har ni här (eller era
Windows-kollegor) något att säga om detta och/eller hur man hanterar
servercerten så smidigt som möjligt i Windows-server-miljö?
> Nu har vi använt den nya Sectigo tjänsten ett tag [...]
> för att hantera och förnya certifikat som används på [våra]
> tjänster och webbplatser. Det har väl gått både bra och dåligt.
>
> Ibland har vi kunnat ladda ned ett certifikat, lagt in det på våra
> Windows servrar och det har fungerat. I vissa fall har det inte
> fungerat bra, då ett nedladdat certifikat med inställningen
> "certificate /w chain" har lagts in men SSL labs mm klagar på att
> "chain is incomplete/missing". Och i vissa fall har vi inte kunnat
> använda ett certifikat nedladdat via "certificate /w chain" utan har
> behövt använda andra alternativ, t ex. "certificate pkcs 7 pem". Men
> då har detta lett till att vi istället har behövt konvertera till pkcs
> 12 för att den filen ska fungerat att importera i Windows IIS-tjänst
> och även i andra applikationer som har fått certifikat. Men då har det
> istället ibland lett till att intermediate och root certifikaten inte
> har kommit med. Då har vi fått lov att separat även lägga på dessa
> parallellt med att vi har lagt till själva webbplats-certifikatet.
>
> Så det är just nu lite för mycket konverteringar och anpassningar av
> de certifikat som går att ladda ned via sectigo för att detta ska
> kännas som en smidig certifikat-administration.
>
> Därför undrar jag om det finns något som kan underlätta för oss
> gällande sectigo och att lägga in deras certifikat på våra windows
> servrar?
>
> För DigiCert hade ett verktyg som hette DigiCert Certificate Utility
> for Windows som fixade mycket av ovan problem när certifikaten skulle
> installeras. Jag har hittat på sectigos hemsida att det ska finnas
> något motsvarande verktyg som kan installeras på Windows som heter det
> "Comodo Certificate Auto-installer" men blir osäker om det är rätt att
> använda eftersom företaget/tjänsten numera heter Sectigo istället. Så
> det verktyget kanske är förlegat/inte kan användas längre?
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Hej!
Upptäckte idag att Intermediate-certet Geant OV RSA CA 4 hade försvunnit
från en maskin (Server 2012 R2) vilket fick den maskin att vägra starta
tjänsten som använde certet.
Kontrollerade övriga servrar i det clustret och fann att certet fanns kvar
där. Ett par timmar senare var det dock borta från en annan maskin i
clustret. Någon som varit med om detta?
Jan Pettersson
ITS (IT-stöd och systemutveckling)
Umeå universitet / Umeå University
SE-901 87 Umeå, Sweden
+46 (0)90 786 93 57
Sip: <mailto:jan.pettersson at umu.se> jan.pettersson at umu.se
När du skickar e-post till Umeå universitet så innebär detta att Umeå
universitet behandlar dina personuppgifter. För att läsa mer om hur detta
går till, gå till <http://www.umu.se/gdpr> www.umu.se/gdpr
By sending an email to Umeå University, the University will need to process
your personal data. For more information, please read www.umu.se/en/gdpr
Hej,
Vi har satt upp en notifiering 45 dagar innan ett SSL-cert expirerar. Den är inställd att skicka endast en gång. Trots detta har jag nu fått tre mail om samma cert (ej utfärdat av Sectigo av naturliga skäl utan scannat och assignat till organisationen). Ett kom i söndags, ett i måndags och ett idag (torsdag).
Någon annan som uppmärksammat samma fenomen?
För protokollet så fick jag en notifiering om ett annat cert tidigare, som jag då "förnyade" via Sectigo och det har jag bara fått det enda mailet om. Certet ovan (som jag fått tre notifieringar om) skall inte förnyas.
Hälsningar,
//dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
IT-avdelningen
Högskolan Dalarna
dempa at du.se<mailto:dempa at du.se> | www.du.se<https://www.du.se/> | +46 23 778000
Hej!
Har någon lyckats sätta upp notifiering vid den händelse att en
certifikatbegäran eller delegation av domän blir avslagen?
Som det är nu har jag fått till det så att den som ansöker får mail vid
ansökan och godkännande, men inte vid avslag.
Jag behöver alltså maila manuellt om jag avslår en ansökan.
Jag har inte testat hur det ser ut vid enrollment-ansökan utan
ovanstående gäller för DRAO-ansökan.
Hälsningar,
Patrick Forsberg
Chalmers
Sectigo har nu lagt till en flagga man kan sätta på RAOs så att dessa
kan lägga till domäner utan att jag behöver göra Approve som MRAO.
Innan jag funderar på hur jag smidigast ska sätta den på örton RAOs vill
jag se att den funkar som tänkt. Så: är det någon av er som har
erfarenhet av systemet som i närtid (idag eller imorgon) tänker lägga
till en ytterligare domän? I så fall tala om vilken RAO-användare som
ska göra det, så ordnar jag flaggan och så ser vi hur det blir
annorlunda.
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Om ni som redan är med i systemet har kollegor som missat tidigare
tillfällen och tänkt vara med och lyssna på dagens ombordstigningsmöte,
så berätta för dem att vi håller till på
https://liu-se.zoom.us/j/67746903716?pwd=K3RlSzFnbEZDYllkK2pTRU9zWDdjZz09
Meeting ID: 677 4690 3716
Password: 471142
istället för mitt personliga möte.
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Vi har fått en del frågor om kedjecertifikaten, särskilt att några ser
ut att gå ut 2020-05-30. Jag har lagt till information om detta på
slutet av
https://wiki.sunet.se/display/TCS/SUNET+TCS+2020-+Information+for+administr…
och passat på att lägga till lite mer också:
What about the expiring certificates in the certificate chain?
Some of you may have noticed that the chain certificates we get from
Sectigo contains a certificate at the top with CN = AddTrust External CA
Root and an expiration on 2020-05-30. For an explanation of why this
should not cause problems for you, please see "Sectigo AddTrust External
CA Root Expiring May 30, 2020" on the Sectigo site.
You may also notice that the next level down in the chain is CN =
USERTrust RSA Certification Authority which also expires on 2020-05-30,
and that is the certificate that has signed the CN = GEANT OV RSA CA 4
certificate that in turn has signed the SSL certificate for your server.
That also seems bad, doesn't it? It turns out that certificate is there
to support the CN = AddTrust External CA Root "feature" and that there
is another version of CN = AddTrust External CA Root present in the root
store of the browsers (using the same key) which is valid until
2038-01-18, and that is the one that matters and makes the browser trust
the GEANT-branded CA certificate and therefore your server certificate.
The conclusion is that things will work after 2020-05-30 too.
Do we really need all those certificates in the chain?
No. You should be fine with only the GEANT-branded sub-CA certificate
(CN = GEANT OV RSA CA 4 or similar) configured as chain certificate in
your server.
Where can we check if our server sends the correct chain?
We recommend Qualys SSL Server Test which tests this and and a lot of
other useful things (most of them related to you server configuration,
not the certificates as such). For the chain specifically, look at the
"Chain issues" heading where you want to see "None" (if you have trimmed
the unnecessary certificates from the chain) or "Contains anchor" (if
you have kept the full set).
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Testare, nypåstigna användare,
Erik Anderssom på UmU har uppmärksammat oss på att när man använder
typen GÉANT OV SSL så får man ett "bonusnamn" bland Subject Altenative
Names: ett certifikat för mail.test.example.org får också
www.mail.test.example.org.
Vi ser för tillfället inga konkreta säkerhetsproblem med detta som inte
kräver väldigt kreativ uppdelning av ansvar för olika namn/tjänster, men
det är likväl fel och fult.
Detta är felanmält till GÉANT som får ta det med Sectigo. Tills detta är
löst rekommenderar vi att ni använder GÉANT OV Multi-Domain (som inte
har denna "finess") även för certifikat med bara ett namn (lämna
extranamnsrutan tom). Ni kan också använda Customize-knappen under era SSL
Certificates-inställningar för organisationen för att slå av typen GÉANT
OV SSL så ingen väljer den av misstag.
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Jag ser på https://doodle.com/poll/6wgkprntgcve4ptb att några av er
tänker var med på ombordstigningsmötena så ni kan hjälpa mig att inte
missa något viktigt :-)
För att belöna dem som följt instruktionerna och sätta myror i byxorna
på de som inte kan läsa innantill, så delar jag ut zoom-länken i svar på
RT-ärendet där de som ska vara med har skickat in uppgifterna jag frågat
om, men ni är ju redan klara där, så ni får den här:
https://liu-se.zoom.us/my/kent.engstrom
(samma som jag brukar använda, men ändå... :-)=
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Hej,
ni som får detta mail har varit med och testat "nya" SUNET TCS i förväg
(LiU, UmU, KTH, WMU, SU). Inför ombordstigningen av resten under april
så har jag förberett ett dokument
https://wiki.sunet.se/display/TCS/SUNET+TCS+2020-+Information+for+administr…
som är tänkt att berätta det viktigaste som vi och ni kommit fram till
under våra tester, för de nya medlemmarna, utan att överbelasta med alla
detaljer.
Jag tänkte be er som har tid att läsa igenom detta, och påpeka saker
som:
*) felaktigheter, stavvfel och liknande
*) saknad information om sådant som ni fastnat på eller liknande och som
bör med här så inte andra går på samma nit
*) ev andra viktiga saker som bör tas med
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
