Rechenzentrum
Ablösung von SHA-1 in Serverzertifikaten / Hinweise für Administratoren
22. September 2014, von Netzgruppe
Wenn Sie ein Serverzertifikat der UHH-CA auf einem Ihrer Systeme einsetzen, müssen sowohl das Zertifikat selbst als auch die Zertifikatskette auf Verwendung von SHA-1 Signaturen überprüft werden.
Wenn Sie ein Serverzertifikat der UHH-CA auf einem Ihrer Systeme einsetzen, müssen sowohl das Zertifikat selbst als auch die Zertifikatskette auf Verwendung von SHA-1 Signaturen überprüft werden.
Die Kollegen von der DFN-PCA haben dafür ein Skript erstellt, das diese Überprüfung automatisch durchführt und Hinweise gibt, ob das Zertifikat, die Zertifikatskette oder beides auszutauschen sind, um zukünftig kompatibel mit Chrome- und Internet Explorer-Browsern zu sein.
Wir haben das Skript zusammen mit den aktuellen PEM- und DER- Versionen der Zertifikatskette in ein UNIX-tgz-Archiv gepackt, das Sie weiter unten herunterladen können.
Da die Kollegen von der DFN-PCA das Skript kontinuierlich verbessen lohnt sich im Zweifelsfall auch ein Download des Originals.
Das Skript kann auf gängigen UNIX/Linux-Systemen ausgeführt werden. Es erfordert lediglich eine openssl Installation bwz. das openssl-Programm.
Der Aufruf erfolgt mit ./testserver.sh <name> <port>
Beispiel (kein Handlungsbedarf):
$ ./testserver.sh www.fiona.uni-hamburg.de 443
OK: www.fiona.uni-hamburg.de:443 liefert das PCA-Zertifikat von Juli 2014 aus.
OK: Das Serverzertifikat von www.fiona.uni-hamburg.de:443 ist mit SHA-2 signiert.
Beispiel (Zertifikatskette und Serverzertifikat müssen erneuert werden)
$ ./testserver.sh earth.rrz.uni-hamburg.de 443
!!!!Not OK: earth.rrz.uni-hamburg.de:443 liefert das mit SHA-1 signierte PCA-Zertifikat von Dezember 2006 aus.
*Wichtig*: Bitte ersetzen Sie die Zertifizierungskette, die der Server ausliefert.
!!!!Not OK: Das Serverzertifikat von earth.rrz.uni-hamburg.de:443 ist noch mit SHA-1 signiert,
und wird in Google Chrome zu Warnmeldungen führen.
*Wichtig*: Bitte tauschen Sie das Serverzertifikat aus.
Sollten Sie entsprechende Hinweise zum Austausch der Zertifizierungskette/Zertifikatskette erhalten, finden Sie die aktuelle Versionen der mit SHA-2 signierten Intermediate-Zertifikate im UNIX-tgz-Archiv oder alternativ auf den Webseiten der UHH-CA.