Um Ihr neues Server-Zertifikat nutzen zu können, müssen Sie es dem Serverdienst bekannt machen. Dies geschieht in der Konfigurationsdatei des Dienstes.
Da es sich bei dem Zertifikat um ein Server-Zertifikat handelt, das von mehreren Diensten genutzt werden kann, sollte es in einem zentralen Verzeichnis (z.B.: /etc/ssl/certs/) hinterlegt werden.
Der private Schlüssel kann in /etc/ssl/private/ hinterlegt werden. Achten Sie bitte darauf, das nur Root Leserechte für den privaten Schlüssel hat.
Zertifikatskette
Zertifikate von »Sectigo«
Sobald ein von Ihnen beantragtes Zertifikat ausgestellt ist, erhalten Sie eine E-Mail mit Download-Links. Unter »Available formats« wählen Sie ein Format, dass die Zertifikatskette bereits enthält.
Für Apache / nginx wird »Certificate (w/ issuer after)« angeboten, für Microsoft IIS »PKCS#7«.
Nachdem Sie Ihren privaten Schlüssel und Ihr Zertifikat gespeichert haben, sollten Sie das
Wurzelzertifikat der DFN-PKI und das CA-Zertifikat der Bauhaus-Universität Weimar
installieren.
Prüfen Sie hierbei jeweils den Fingerprint der CA-Zertifikate. Zur Anzeige des Fingerprints können Sie OpenSSL wie folgt aufrufen:
openssl x509 -in <CA-Zertifikat.pem> -fingerprint -sha256 -noout
Um die vorhandene Kette von CA-Zertifikaten für den Server bereitzustellen, kann man entweder jedes einzelne Zertifikat in der Konfigurationsdatei angeben oder man erzeugt sich mit Hilfe des UNIX-Kommandos cat eine Datei, die alle notwendigen CA-Zertifikate enthält.
Beispiel für den Apache-Webserver:
server # cat dfn-root-ca-cert.pem top-cacert.pem cacert.pem >> ca-bundle.crt
Damit die Konfigurationsdatei neu eingelesen wird, muss nach der Installation der Zertifikate der Dienst neu gestartet werden.