Commfides Norge AS

page header image
// Hvordan gjennomføres Callback?

by

Hvordan gjennomføres Callback?

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Hvordan lage en bundle fil fra .crt-filer?

En rekke systemer (bl.a. Apache) krever at intermediate sertifikatene ligger samlet i en bundle-fil.

Dette gjøres enkelt ved å lage en ny tekstfil som inneholder alle intermediate- og rot-sertifikater i «omvendt» rekkefølge, dvs:
Intermediate 2
Intermediate 1
Rot 0

(NB! Ofte får du feil om Chain-anchor ved å ha topproten med i bundelen da denne skal ligge i operativsystemet/klienten fra før, da kan du bare fjerne den siste (rot) fra bundelen.

Lagre filen som dittDomene.ca-bundle.

Vi har ferdig laget bundle filer for alle våre sertifikater HER

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Akseptable interne domenenavn

 VIKTIG: Etter 31. Oktober 2014 kan man ikke bestille sertifikater som inneholder intern domenenavn eller intern IP. 
Grunnen til dette er at alle sertifikatet som inneholder interne domenenavn eller intern IP må utgå før 31. Oktober 2015.

  1. Følgende IP blokker er definert som privat og ikke-rutbare over Internett, og dermed ikke lov/mulig å utstede sertifikat til:
    10.0.0.0 – 10.255.255.255
    172.16.0.0 – 172.31.255.255
    192.168.0.0 – 192.168.255.255
    Se: RFC1918
  2. Enhver enkel server navn som ikke inneholder noen prikker. For eksempel:
    server1
    mymailserver
    printspool
  3. Følgende internt bruk av TLD-er referert i RFC2606 :
    .test
    .example
    .invalid
    .localhost
    .local
    .lan
    .priv
    .localdomain

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Sertifikat mangler privatnøkkel

I noen tilfeller klarer ikke Windows og automatisk knytte sertifikatet opp mot privatnøkkelen som ble laget når en genererte CSR-en. Som regel identifiserer en dette problemet ved at «Complete Certificate Request» i IIS mislykkes, eller at sertifikat forsvinner / er utilgjengelig fra IIS (under «Certificates» og «Bindings»).

I slike tilfeller pass på at sertifikatet er installert under «My Computer -> Personal». Hvis det mangler, gå gjennom installasjon-/importveiseren til Windows.

Deretter hent ut thumbprint/fingeravtrykket fra sertifikatet og fjern alle mellomrom.

Åpne CMD som Administrator og kjør følgende kommando:

certutil -repairstore my «<thumbprint på sertifikatet>»

Eksempel: certutil -repairstore my «13e1143000ad0dbacdc38123f55bcd13»

 

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

OpenSSL

To generate a CSR with a new private key, run the following command:

 

openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privatekey.key

 

Parameter explanation:

 

-out specifies file name and where the CSR is stored.

-new -newkey rsa: 2048 details around private key, rsa: 2048 describes the size (bit) of the private key. 2048 is the minimum.

-mark if you do not want the private key to be encrypted (3DES), remove the node you will need to create a password to decrypt the private key

-keyout filename and location of the private key

 

When you run the command, OpenSSL asks for the following:

 

Country Name: (2-letter ISO-3166-1 Country Code, eg NO for Norway)

State or Province: (County)

Locality: (City)

Organization: (Full legal organization name listed in Brønnøysund Registers.

Common Name: (FQDN / Domain)

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Apache Tomcat (keytool)

  1. Lag en ny keystore:

    keytool -genkeypair -keysize 2048 -keyalg RSA -alias ALIAS -keystore KEYSTORENAVN

Bruk samme passord på keystore og selve nøkkelen.

  1. Verifiser keystore:

    keytool -list -keystore keystore Her forventer en bare at det er ett entry; PrivateKeyEntry.

  2. Lag CSR:

    keytool -certreq -alias ALIAS -keyalg RSA -file CERTFIL.csr -keystore KEYSTORENAVN’

  3. csr gis til oss og du mottar en zip-fil med diverste crt/cer filer.Velger du IIS som server type under bestilling får du en ferdiglaga p7b-fil som gjør installasjon litt raskere. Mulig du må endre fil-endelse fra .cer til .p7b. p7b-filen inneholder sertifikatet samt intermediate og rot-sertifikatene.
  4. Deretter import p7b inn i keystore:

    keytool -import -alias ALIAS -trustcacerts -file FILEN_SOM_DU_FÅR_AV_OSS.p7b -keystore KEYSTORE

  5. Flytt så keystore-filen (jks) inn til \Jenkins\secrets (dette er sikkert ikke nødvendig da det kan spesifiseres i config, men virker til å være egne les/skriv-rettigheter til denne mappen som er en liten fordel).
  6. i jenkins.xml:

Verifiser at -httpsKeyStore=»%BASE%\secrets\KEYSTORE» –httpsKeyStorePassword=KEYSTORE_PASSWORD

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Microsoft IIS

Åpne Internet Information Services (IIS) Manager.

I IIS velg serveren fra Connection-menyen.  På valgte den valge servers Home, dobbelttrykk på Server Certificates.

En ny oversikt som viser tilgjengelige sertifikater vil vise seg. I høyre marg under Actions trykk på Create Certificate Request.

En Request Certificate veiviser vil åpne hvor følgende opplysninger må legges inn (fet skrift betyr obligatorisk):

  • Common name (CN):
    Fully-qualified domain name (FQDN) ( f.eks.., www.example.com). Hvis sertifikater er et wildcard-sertifikat må ‘*’ være med i common name.
  • Organization (O):
    Fulle juridiske navnet slik det står i Brønnøysundregistrene.
  • Organizational unit (OU):
    Avdeling e.l. Kan gjerne være tomt, bare pass på å unngå å skrive inn «store» merkenavn som Google, Microsoft etc.
  • City/locality:
    By/Poststed som organisasjonen er registrert i Brønnøysundregistrene.
  • State/province:
    Fylke
  • Country:
    Land (NO for Norge).

 

Det neste steget, Cryptographic Service Provider Properties, om du ikke vet hva du skal bruke velg Microsoft RSA SChannel Cryptographic Provider og en minimum bit length (key size) på 2048.

 

Deretter velg hvor CSR-en skal lagres. Sluttresultatet blir en .csr eller .txt fil som vi trenger for å produsere et sertifikat.

CSR-en ser gjerne slik ut:

—–BEGIN CERTIFICATE REQUEST—–
MIIDOjCCAiICAQAwgaMxCzAJBgNVBAYTAk5PMQ0wCwYDVQQIDARPc2xvMQ0wCwYD
VQQHDARPc2xvMRswGQYDVQQKDBJDb21tZmlkZXMgTm9yZ2UgQVMxEzARBgNVBAsM
Ck9wZXJhdGlvbnMxGzAZBgNVBAMMEmVwa2kuY29tbWZpZGVzLmNvbTEnMCUGCSqG
SIb3DQEJARYYb3BlcmF0aW9uc0Bjb21tZmlkZXMuY29tMIIBIjANBgkqhkiG9w0B
AQEFAAOCAQ8AMIIBCgKCAQEArn0EXXmQcm4GL9KuvBNbeYTBNjEVZTd2M20EmrBC
G80eSd4JNGukLt+TVAtX5a9n99ohVxYLeRMGtccqvPh+psgM23btZAJ6+vRtSF+l
kp9ACqCTGyd8uwQoa6ZtTTDGfkyS3o7dkAFmlvFzgGQShFSy2S6QDl+A+Ey9Q7Zr
aLF2UN+z8qy76xcPuSdzuog8KPx7tPP2+AzNsIhh5F+KJbeBC06us/+pKy5URbqp
BtgYnXyKjrycdqizIeYEI4TBp0efOXbZnpdxyFD+WxsMb+7VkxeRBZWL100NJTtI
k0pOuSBRhYyWlW1FMosXCx9Ln0kXRfM9SICzn96kYzLMRQIDAQABoFEwIAYJKoZI
hvcNAQkHMRMMEU5ld0NlcnRDbW1mZHMxMjMhMC0GCSqGSIb3DQEJAjEgDB5Qcm92
aWRlZCBieSBDb21tZmlkZXMgTm9yZ2UgQVMwDQYJKoZIhvcNAQELBQADggEBAAKh
plRy5dzGygewYqGnFoAXCOVPJdxsnkltnzZZ/WiDbXnkBEQjiiBD4YSZq+cnWwM/
2ip5yHE/x+2Yp21Y+5rR3+b5Iq9+m9Pg2VXCu3fzO45T7iFk96vw4UkS/94ltjpI
2E1xB4Se+OWstdzGO8LdSohtdIESvTHc8kzcepU42yYDX7RG3h4LsQzGJtRrOCCD
CvJFQJYZ5+9xAcTQuG7DkDwg+PY3lhGgi7m8XMycCJuO+U6U4kvcVkerfjhbaTTj
qEGK2O65vZ3xlGhSD1y40fQtTiQPIKmfDyRV6yFra676EMHbWNsO7Y2lxSxrfkJ+
Ii0dmmJkIY+Fzl1sctY=
—–END CERTIFICATE REQUEST—–

 

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Microsoft Exchange 2010

  1.  Start Exchange Management Console ved å gå til Start> Programmer> Microsoft Exchange 2010> Exchange Management Console.
  2. Klikk på Manage Databases.
  3. Velg Server Configuration  i menyen til venstre og deretter New Exchange Certificate fra handlingsmenyen på høyre side.
  4. Når du blir bedt om et friendly name, står du fritt til å velge hva som helst. Dette brukes ikke i selve CSR-en, men brukes av Windows for å identifisere/skille på CSR-er/sertifikater.
  5. Under Domain Scope kan du merke av i boksen hvis du vil generere CSR for wildcard. Ellers bare gå videre. NB noen systemer kan ha problemer med Wildcard (*) til Exchange/federering.  Hvis du velger Wildcard kan du oppe rett til steg 8.
  6. På menyen Exchange Configuration velger du den/de tjenestene du skal sikre med TLS/sertifikat, og skriver inn navn på tjenestene som skal omfattes.
  7. På neste side lister Exchange opp alle navnene den foreslår skal inkluderes i CSR-en. Se gjennom navnene og legg til eventuelle ekstra navn på dette punktet.
  8. Organisasjonen din bør være ditt fulle juridiske navn slik det står i Brønnøysundregistrene.
  9. I neste steg velger du hvor du ønsker å lagre CSR-filen. Denne lagres som en .req-fil som kan åpnes i de fleste teksteditor som Notepad, Wordpad, Vi o.l. 

Denne CSR-filen legger du ved/inn når du bestiller sertifikatet.

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Hvilke krav stilles til innholdet i en CSR-fil?

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

by

Hvordan installer sertifikatet på Tomcat

Rot sertifikat:

Skriv følgende kommando for å installere Rot sertifikatet filen:
keytool -import -trustcacerts -alias root -file RotSertFil.crt -keystore keystore.key

Hvis du får en melding som sier «Certificate already exists in system-wide CA keystore under alias <…> Do you still want to add it to your own keystore? [no]:», Velger du Yes. Hvis det fungerte vil du mottatt følgende melding «Certificate was added to keystore».

Mellomliggende sertifikat:

Skriv følgende kommando for å installere Mellomliggende sertifikatet filen:
keytool -import -trustcacerts -alias intermediate -file

MellomliggendeSertFil.crt -keystore keystore.key
Hvis det fungerte vil du mottatt følgende melding «Certificate was added to keystore».

Domene sertifikat:

Skriv inn følgende kommando for å installere sertifikatet til ditt domene:
(husk å bruk samme alias som er brukt til private nøkkelen)
keytool -import -trustcacerts -alias tomcat -file DomeneSertFil.crt -keystore keystore.key

Hvis det fungerte vil du mottatt følgende melding «Certificate reply was installed in keystore».

Nå er alle sertifikatene installert i din keystore fil, det som gjenstår nå er å konfigurere din server til å bruke keystore filen.

Konfigurere din SSL Connector

Tomcat krever at SSL Connector er konfigurert før den kan akseptere sikre tilkoblinger.

Standardinnstillingen til Tomcat ser etter en Keystore med filnavn som slutter på .keystore i hjemmet katalog med standard passord «changeit». Hjemmet katalogen er vanligvis /home/brukernavn/ på Unix og Linux systemer, og C:\Documents and Settings\brukernavn\ på Microsoft Windows systemer. Du har mulighet til å endre passord og filplassering.

Kopiere keystore filen (keystore.key) til hjemmeområdet.
Åpne filen ${CATALINA_HOME}/conf/server.xml i en teksteditor.

  • Avkommenter SSL Connector konfigurasjonen.
  • Kontroller at Connector Port er 443.
  • Kontroller at keystorePass samsvarer med passordet for keystore og keystoreFile inneholder banen og filnavnet til din keystore.

Når du er ferdig burte din Connector se omtrent slik ut:
<Connector className=»org.apache.catalina.connector.http.HttpConnector» port=»8443″ minProcessors=»5″ maxProcessors=»75″ enableLookups=»true» acceptCount=»10″ debug=»0″ scheme=»https» secure=»true»>

<Factory className=»org.apache.catalina.net.SSLServerSocketFactory» clientAuth=»false» protocol=»TLS» keystoreFile=»/mappe/keystore.key» keystorePass=»passord»/>

  • Lagre endringen til server.xml
  • Gjør en omstart av Tomcat

SE OGSÅ:

FORTSATT PROBLEMER?

Kontakt oss så løser vi det sammen.

Kontakt oss

Besøksadresse:
Fornebuveien 1, 1366 Lysaker

Postadresse:
Postboks 405, 1327 Lysaker

Nyhetsbrev

Om Commfides

Customer Service

Support
+47 21 55 62 60

Kundeservice

Support
+47 21 55 62 60
Trykk her for å melde deg ut av Google Analytics. Vi bruker Google Analytics for å føre statistikk over besøk på siden.