# luh-ca.cnf
# openssl-config fuer die Erzeugung eines certificate signing
# request (CSR, Zertifikatsantrag) fuer Server der Leibniz
# Universitaet Hannover
# vgl. https://www.luis.uni-hannover.de/de/services/it-sicherheit/zertifikate-der-luh-ca/
# 20211117 - security@luis.uni-hannover.de
# 20220720 - default_bits set to 4096
####################################################################

# Hinweise:
# - fuer mehrere Servernamen vgl. SNI am Ende der Datei
# - Key-Usages im CSR werden ignoriert, DFN-PKI gibt vor
# - Key erzeugen und CSR mithilfe dieser Config stellen durch
#   "openssl req -config luh-ca.cnf -new -keyout server-key.pem
#    -out server-req.pem"
# - fertigen CSR ansehen mit "openssl req -text -noout -verify
#    -in server-req.pem -inform PEM"

[ req ]
default_bits            = 4096
default_keyfile         = server-key.pem
default_md              = sha256
distinguished_name      = req_distinguished_name
req_extensions          = v3_req

# falls keine Passphrase fuer den privaten Schluessel noetig:
# encrypt_key            = no # alternativ -nodes auf Kommandozeile

# bei Strings moeglichst restriktiv, erlaubt
# PrintableStrings: A-Z, a-z, 0-9, '()+,-./:=? und Leerzeichen
# T61Strings: ... mehr Sonderzeichen, bitte nicht nutzen
string_mask             = nombstr
# string_mask           = utf8only

# falls diese Config mit allen Werten passend gefuellt wird,
# ist keine interaktive Abfrage noetig:
# prompt                = no # alternativ -batch auf Kommandozeile


[ req_distinguished_name ]
# alternativ ueber Kommandozeilenoption
# subj '/C=DE/ST=Niedersachsen/L=Hannover/O=Leibniz Universitaet Hannover/OU=<Abteilung>/CN=<FQDN>/emailAddress=<E-Mail-Adresse des Server-Administrators>'
countryName             = Country Name (=DE)
countryName_default     = DE
countryName_min = 2
countryName_max = 2

stateOrProvinceName     = State or Province Name (=Niedersachsen)
stateOrProvinceName_default     = Niedersachsen

localityName            = Locality Name (=Hannover)
localityName_default    = Hannover

organizationName        = Organization Name (=Leibniz Universitaet Hannover)
organizationName_default= Leibniz Universitaet Hannover
# fuer die Internal-CA:
# organizationName_default= Leibniz Universitaet Hannover (Internal)

# bisherige Angabe (C,ST,L,O) sind fest, muessen wie angegeben sein

# 2021-11 OU wird nicht mehr in das Zertifikat mit aufgenommen
# organizationalUnitName  = Organizational Unit Name (Einrichtungskuerzel)
# organizationalUnitName_default  = 

commonName              = Common Name (Servername FQDN)
commonName_default      = 

# die Mail-Adresse wird nicht mehr ins Zertifikat uebernommen,
# ist somit eigentlich egal (bei Antrag wird extra gefragt)
# emailAddress            = Email Address
# emailAddress_default    = 


[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# subjectAltName = @alt_names


[ alt_names ]
# fuer server name indication (SNI) muss die Config-Datei hier
# um alle Namen (inkl. CN) angepasst werden. Zudem oben bei 
# der Zeile subjectAltName... das # entfernen.
# Geht nicht interaktiv beim Erzeugen des Aufrufs.
DNS.1 = example1.example.uni-hannover.de
DNS.2 = example2.example.uni-hannover.de