Serverzertifikate

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst bzw. Server zu beantragen. Dieses Zertifikat muss den Richtlinien der DFN-PKI entsprechen. Beachten Sie hier insbesondere Abschnitt 3.1.2 a) zur Namensform. Außerdem sind Sie verpflichtet, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten.
Das Serverzertifikat ist maximal 39 Monate gültig.

Damit Sie ihr Serverzertifikat nutzen können, müssen Sie:

  1. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format erstellen.
  2. Den Antrag über die Webschnittstelle hochladen
  3. Den ausgedruckten Antrag ausfüllen und unterschreiben.
  4. Einen Termin bei der RA zur persönlichen Identifizierung ihrer Person vereinbaren.
  5. Das Zertifikat auf Ihrem Server einbinden

1.PKCS#10-Zertifikatsantrag im PEM-Format generieren

Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein OpenSSL Windows Installationspaket. Diese OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:
    • openssl req -newkey rsa:2048 -keyout <Servername>.key -out <Servername>.csr
      • Erklärungen:
      • openssl req  Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
      • -newkey rsa:2048  Erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren. Es können natürlich auch längere Schlüssel erzeugt werden.
      • -keyout <Servername>.key  Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen, andernfalls müssen Sie ihr Zertifikat sofort sperren.
      • -out <Servername>.csr  Der digitale Zertifikatsantrag PKCS#10 im PEM-Format.
      • Zusätzliche Felder:
      • -nodes – Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig.
      • -config <Dateiname> – Verwendet eine Konfigurationsdatei (Beispielkonfigurationsdatei zum Download) für einige Voreinstellungen und weitere Namen die im Zertifikat enthalten sein sollen (SANs).
      • Weiterführende Informationen zur Nutzung von OpenSSL finden sich auch in dieser Anleitung für OpenSSL.
  • Abfragen beantworten
    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Friedrich-Alexander-Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: <Ihr Institutsname> Bei der Wahl der Zeichenkette für OU sind Sie nicht frei. Es sollte sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute dürfen nicht verwendet werden.
    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)
  • Alle Zertifikate müssen C=DE, ST=Bayern, L=Erlangen, O=Friedrich-Alexander-Universitaet Erlangen-Nuernberg enthalten.

 

2. Zertifikatantrag hochladen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen.
  • Webschnittstelle der CA aufrufen (https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/)
    • Wählen Sie „Serverzertifikat“ im Menü des Hauptpunktes „Zertifikate“
    • Formular ausfüllen
      • Zertifikatsrequest (Dateiendung .csr) hochladen
      • Zertifikatsprofil auswählen
      • Name des Antragstellers eingeben
      • E-Mail: Ihre FAU-E-Mailadresse oder eine Funktionsadresse, an diese wird das Zertifikat versendet, keine Privatadresse möglich
      • Abteilung angeben (optional), z.B. die OU
      • PIN: Diese benötigen Sie, wenn Sie das Zertifikat sperren wollen bzw. müssen
    • Zertifizierungsrichtlinie lesen und zustimmen
    • Klicken Sie auf „Weiter“ und bestätigen Sie Ihre Daten.
    • Zertifikatantrag anzeigen lassen und ausdrucken.

Bitte beachten Sie, dass diese Zertifikate eine begrenzte Gültigkeit bis zum 10.07.2019 haben.

Durch die Umstellung der DFN PKI Anfang 2017 auf eine neue Zertifikatshierarchie und damit verbunden das neue Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ können bereits neue Zertifikat mit voller Gültigkeitsdauer erstellt werden. Allerdings ist das Wurzelzertifikat nicht in Geräten mit Android Versionen kleiner Version 5 vorinstalliert, daher können diese Geräte die Gültigkeit der ausgestellen Zertifikate nicht verifizieren. Sollte dies für Ihre Anwendung keine Rolle spielen, (die Verbreitung dieser Android Versionen nimmt zudem stetig ab), können Sie unter folgendem Link die Zertifikate der neuen Hierarchie bantragen. Bitte beachten Sie, dass Sie dann auch ein neues chain-file benötigen.

 

3. Zertifikatsantrag ausfüllen und unterschreiben

Den ausgedruckten Zertifikatsantrag füllen Sie bitte komplett aus und unterschreiben diesen.

4. Termin mit der RA

Kommen Sie mit ihrem Antrag und gültigem Personalausweis bzw. Reisepass zu einer unserer Kontaktpersonen (siehe Kasten rechts). Entweder ohne Voranmeldung oder Sie vereinbaren einen Termin.

5. Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, wird Ihnen ihr Zertifikat per E-Mail zugeschickt.

Anschließend müssen Sie das Zertifikat und den privaten Schlüssel auf den Server übertragen und zusammen mit der Zertifikatskette in die jeweilige Applikation einbinden.