Serverzertifikate – veraltet

Achtung: Die DFN-PKI hat auf einen neuen Zertifikatsanbieter umgestellt. Auf dem hier beschriebenen Weg konnten Serverzertifikate nur noch bis zum 31.12.2022 ausgestellt werden. Bitte verwenden Sie die neue CA, die auf der Seite https://www.anleitungen.rrze.fau.de/serverzertifikate-tcs-2022/ beschrieben ist.

 

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst bzw. Server zu beantragen. Dieses Zertifikat muss den Richtlinien der DFN-PKI entsprechen. Beachten Sie hier insbesondere Abschnitt 3.1.2 a) zur Namensform. Außerdem sind Sie verpflichtet, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten.
Das Serverzertifikat ist maximal 13 Monate gültig.

Damit Sie ihr Serverzertifikat nutzen können, müssen Sie:

  1. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format erstellen.
  2. Den Antrag über die Webschnittstelle hochladen
  3. Den ausgedruckten Antrag ausfüllen und unterschreiben.
  4. Einen Termin bei der RA zur persönlichen Identifizierung ihrer Person vereinbaren.
  5. Das Zertifikat auf Ihrem Server einbinden

1.PKCS#10-Zertifikatsantrag im PEM-Format generieren

Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein OpenSSL Windows Installationspaket. Diese OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:
    • openssl req -newkey rsa:2048 -keyout <Servername>.key -out <Servername>.csr
      • Erklärungen:
      • openssl req  Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
      • -newkey rsa:2048  Erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren. Es können natürlich auch längere Schlüssel erzeugt werden.
      • -keyout <Servername>.key  Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen, andernfalls müssen Sie ihr Zertifikat sofort sperren.
      • -out <Servername>.csr  Der digitale Zertifikatsantrag PKCS#10 im PEM-Format.
      • Zusätzliche Felder:
      • -nodes – Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig.
      • -config <Dateiname> – Verwendet eine Konfigurationsdatei (Beispielkonfigurationsdatei zum Download) für einige Voreinstellungen und weitere Namen die im Zertifikat enthalten sein sollen (SANs).
      • Weiterführende Informationen zur Nutzung von OpenSSL finden sich auch in dieser Anleitung für OpenSSL. Alternativ können Sie zu erstellen des CSR und zur Verwaltung der Zertifikate unter einer grafischen Oberfläche auch das OpenSource Tool XCA verwenden: https://hohnstaedt.de/xca/
  • Abfragen beantworten
    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Friedrich-Alexander-Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: <Ihr Institutsname> Bei der Wahl der Zeichenkette für OU sind Sie nicht frei. Es sollte sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute dürfen nicht verwendet werden.
    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)
  • Alle Zertifikate müssen C=DE, ST=Bayern, L=Erlangen, O=Friedrich-Alexander-Universitaet Erlangen-Nuernberg enthalten.

 

2. Zertifikatantrag hochladen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen.
  • Webschnittstelle der CA aufrufen (https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca-g2/pub/)
    • Wählen Sie „Serverzertifikat“ im Menü des Hauptpunktes „Zertifikate“
    • Formular ausfüllen
      • Zertifikatsrequest (Dateiendung .csr) hochladen
      • Zertifikatsprofil auswählen
      • Name des Antragstellers eingeben
      • E-Mail: Ihre FAU-E-Mailadresse oder eine Funktionsadresse, an diese wird das Zertifikat versendet, keine Privatadresse möglich
      • Abteilung angeben (optional), z.B. die OU
      • PIN: Diese benötigen Sie, wenn Sie das Zertifikat sperren wollen bzw. müssen
    • Zertifizierungsrichtlinie lesen und zustimmen
    • Klicken Sie auf „Weiter“ und bestätigen Sie Ihre Daten.
    • Zertifikatantrag anzeigen lassen und ausdrucken.

Bitte beachten Sie, dass das Wurzelzertifikat nicht in Geräten mit Android Versionen kleiner Version 5 vorinstalliert ist. 

3. Zertifikatsantrag ausfüllen und unterschreiben

Den ausgedruckten Zertifikatsantrag füllen Sie bitte komplett aus und unterschreiben diesen.

4. Termin mit dem Teilnehmerservice

Kommen Sie innerhalb von 6 Monaten mit ihrem Antrag und gültigem Personalausweis bzw. Reisepass zu einer unserer Kontaktpersonen (siehe oben rechts). Entweder ohne Voranmeldung (und damit ohne Garantie, einen der unterschriftsberechtigten Kollegen zu erreichen) oder Sie vereinbaren einen Termin unter ca@fau.de. Nach 6 Monaten werden die Anträge automatisch aus der PKI-Schnittstelle gelöscht und können vom Teilnehmerservice nicht mehr bearbeitet werden.

Wenn Sie über ein gültiges Nutzerzertifikat verfügen, ist bei Serverzertifikaten auch folgendes Verfahren möglich:

  1. Sie scannen den unterschriebenen Zertifikatsantrag ein und senden uns diesen in einer mit Ihrem Nutzerzertifikat signierten E-Mail an ca@fau.de zu.
  2. Sie schicken den Zertifikatsantrag im Original per Hauspost an uns: RRZE / PKI – Teilnehmerservice.

Wenn beides beim Teilnehmerservice eingetroffen ist, kann der Antrag auch ohne persönliches Treffen bearbeitet werden.

5. Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, wird Ihnen ihr Zertifikat per E-Mail zugeschickt.

Anschließend müssen Sie das Zertifikat und den privaten Schlüssel auf den Server übertragen und zusammen mit der Zertifikatskette in die jeweilige Applikation einbinden.