Serverzertifikate (TCS ab 2022)

Diese Seite beschreibt die neue Géant TCS CA – bis zum 31.12.2022 ist es weiterhin möglich, Zertifikate über die bisherige DFN CA auszustellen. Wir empfehlen aber in fast allen Fällen, die neue CA zu verwenden.

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst bzw. Server zu beantragen. Insbesondere müssen alle beantragten DNS-Namen im DNS der FAU angelegt und ihrer Organisationseinheit zugeordnet sein.
Das Serverzertifikat ist maximal 12 Monate gültig.

Damit Sie ihr Serverzertifikat nutzen können, müssen Sie:

  1. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format erstellen.
  2. Den Antrag über die Webschnittstelle hochladen
  3. Das Zertifikat auf Ihrem Server einbinden

1.PKCS#10-Zertifikatsantrag im PEM-Format generieren

Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein OpenSSL Windows Installationspaket. Diese OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:
    • openssl req -newkey rsa:4096 -keyout <Servername>.key -out <Servername>.csr
      • Erklärungen:
      • openssl req  Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
      • -newkey rsa:4096  Erzeugt ein neues Schlüsselpaar mit 4096 bit Länge nach dem RSA-Verfahren. Es können natürlich auch kürzere (2048 Bit) oder längere Schlüssel erzeugt werden.
      • -keyout <Servername>.key  Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen, andernfalls müssen Sie ihr Zertifikat sofort sperren.
      • -out <Servername>.csr  Der digitale Zertifikatsantrag PKCS#10 im PEM-Format.
      • Zusätzliche Felder:
      • -nodes – Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig.
      • -config <Dateiname> – Verwendet eine Konfigurationsdatei (Beispielkonfigurationsdatei zum Download) für einige Voreinstellungen und weitere Namen die im Zertifikat enthalten sein sollen (SANs).
      • Weiterführende Informationen zur Nutzung von OpenSSL finden sich auch in dieser Anleitung für OpenSSL.
  • Abfragen beantworten
    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Friedrich-Alexander-Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: Dieses Feld bitte leer lassen. In Zukunft werden keine OU-Angaben policygemäß mehr in die Zertifikate übernommen.
    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)

Alternativ zu OpenSSL können Sie zum Erstellen des CSR und zur Verwaltung der Zertifikate unter einer grafischen Oberfläche auch das OpenSource Tool XCA verwenden: https://hohnstaedt.de/xca/

2. Zertifikatantrag hochladen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen.
  • Webschnittstelle der CA aufrufen ( https://cert-manager.com/customer/DFN/ssl/FAU-Serverzertifikate-beantragen/ )
    • Melden Sie sich mit ihrem SSO-Account an
    • Falls eine Liste von Zertifikaten angezeigt wird, klicken Sie rechts oben auf „Enroll“
    • Füllen Sie das Formular wie folgt aus:
      • E-Mail: Dieses Feld ist mit Ihrer IdM-E-Mail Adresse vorbelegt und kann nicht geändert werden
      • Certificate Profile: OV Multi Domain
      • Certificate: 1 Year
      • CSR: kopieren Sie hier ihren CSR hinein oder laden Sie hier ihre CSR Datei hoch
      • Common Name: tragen Sie hier den Hauptnamen Ihres Zertifikats ein, wie im CSR angegeben – Wird aus dem CSR ausgelesen
      • Subject Alternative Names: Hier können Sie bei Bedarf weitere DNS Namen für das Zertifikat eintragen. Bitte trennen Sie die Namen mit Kommas. Wichtig: Der Hauptname sollte hier auch noch einmal mit aufgeführt werden.
      • External Requester: Hier können Sie eine oder mehrere E-Mail-Adressen hinterlegen, die vor dem Ablauf des Zertifikats benachrichtigt werden sollen. Hier empfiehlt es sich, z.B. Gruppen- oder Funktions-E-Mail-Adressen einzutragen.
      • Comments: hier muss nichts eingetragen werden. Sie können dieses Feld aber für Notizen verwenden.
      • Auto Renew: wenn Sie dies wünschen, kann das Zertifikat automatisch verlängert werden. Sie müssen sich zum Abrufen aber wieder per SSO anmelden
    • Klicken Sie auf „Submit“ um den Antrag abzusenden

3. Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, erhalten Sie eine E-Mail mit Links zu Ihrem neuen Serverzertifikat.

Über diese Links können Sie das Zertifikat in verschiedenen Formaten herunter laden. In den meisten Fällen empfiehlt sich der Eintrag:

  • „as Certificate only, PEM encoded:“ um das Zertifikat einzeln als Datei herunterladen zu können.
  • „as Certificate (w/ issuer after), PEM encoded:“ um das Zertifikat zusammen mit der Zertifikatskette gemeinsam in einer Datei herunterzuladen

Anschließend müssen Sie das Zertifikat und den privaten Schlüssel auf den Server übertragen und zusammen mit der Zertifikatskette in die jeweilige Applikation einbinden.

Zertifikate verwalten

Wenn Sie ein vorhandenes Zertifikat sperren, verlängern oder erneut herunterladen wollen, können Sie das über die folgende Schnittstelle tun:

https://cert-manager.com/customer/DFN/ssl/FAU-Serverzertifikate-beantragen