Serverzertifikate (Géant TCS ab 2022)

Diese Seite beschreibt die neue Géant TCS CA – bis zum 31.12.2022 ist es weiterhin möglich, Zertifikate über die bisherige DFN CA auszustellen. Wir empfehlen aber in fast allen Fällen (außer ggf. bei Domain Controllern), die neue CA zu verwenden.

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst bzw. Server zu beantragen. Insbesondere müssen alle beantragten DNS-Namen im DNS der FAU angelegt und ihrer Organisationseinheit zugeordnet sein.
Das Serverzertifikat ist maximal 12 Monate gültig.

Damit Sie ihr Serverzertifikat nutzen können, müssen Sie:

  1. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format erstellen.
  2. Den Antrag über die Webschnittstelle hochladen
  3. Das Zertifikat auf Ihrem Server einbinden

1.PKCS#10-Zertifikatsantrag im PEM-Format generieren

Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein OpenSSL Windows Installationspaket. Diese OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:
    • openssl req -newkey rsa:4096 -keyout <Servername>.key -out <Servername>.csr
      • Erklärungen:
      • openssl req  Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
      • -newkey rsa:4096  Erzeugt ein neues Schlüsselpaar mit 4096 bit Länge nach dem RSA-Verfahren. Es können natürlich auch kürzere (2048 Bit) oder längere Schlüssel erzeugt werden.
      • -keyout <Servername>.key  Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen, andernfalls müssen Sie ihr Zertifikat sofort sperren.
      • -out <Servername>.csr  Der digitale Zertifikatsantrag PKCS#10 im PEM-Format.
      • Zusätzliche Felder:
      • -nodes – Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig.
      • -config <Dateiname> – Verwendet eine Konfigurationsdatei (Beispielkonfigurationsdatei zum Download) für einige Voreinstellungen und weitere Namen die im Zertifikat enthalten sein sollen (SANs).
      • Weiterführende Informationen zur Nutzung von OpenSSL finden sich auch in dieser Anleitung für OpenSSL.
  • Abfragen beantworten
    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Friedrich-Alexander-Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: Dieses Feld bitte leer lassen. In Zukunft werden keine OU-Angaben policygemäß mehr in die Zertifikate übernommen.
    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)

Alternativ zu OpenSSL können Sie zum Erstellen des CSR und zur Verwaltung der Zertifikate unter einer grafischen Oberfläche auch das OpenSource Tool XCA verwenden: https://hohnstaedt.de/xca/

2. Zertifikatantrag hochladen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen.
  • Webschnittstelle der CA aufrufen ( https://cert-manager.com/customer/DFN/idp/ssl/FAU-Serverzertifikate-beantragen/select )
    • Melden Sie sich mit ihrem SSO-Account an
    • Füllen Sie das Formular wie folgt aus:
      • E-Mail: Dieses Feld ist mit Ihrer IdM-E-Mail Adresse vorbelegt und kann nicht geändert werden
      • Certificate Profile: OV Multi Domain
      • Certificate: 1 Year
      • CSR: kopieren Sie hier ihren CSR hinein oder laden Sie hier ihre CSR Datei hoch
      • Common Name: tragen Sie hier den Hauptnamen Ihres Zertifikats ein, wie im CSR angegeben
      • Auto Renew: wenn Sie dies wünschen, kann das Zertifikat automatisch verlängert werden. Sie müssen sich zum Abrufen aber wieder per SSO anmelden
      • Subject Alternative Names: Hier können Sie bei Bedarf weitere DNS Namen für das Zertifikat eintragen. Bitte trennen Sie die Namen mit Kommas. Wichtig: Der Hauptname sollte hier auch noch einmal mit aufgeführt werden.
      • Annual Renewal Passphrase: Bitte geben Sie hier ein Passwort ein, um das Zertifikat im Selfservice sperren oder verlängern zu können. Sollten Sie dieses Passwort vergessen, können Sie sich für eine Sperrung an die FAU-CA wenden oder für eine Verlängerung einfach ein neues Zertifikat beantragen.
      • External Requester: Hier können Sie eine oder mehrere E-Mail-Adressen hinterlegen, die vor dem Ablauf des Zertifikats benachrichtigt werden sollen. Hier empfiehlt es sich, z.B. Gruppen- oder Funktions-E-Mail-Adressen einzutragen.
    • Klicken Sie auf „Enroll“ um den Antrag abzusenden

3. Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, wird Ihnen ihr Zertifikat per E-Mail zugeschickt.

Anschließend müssen Sie das Zertifikat und den privaten Schlüssel auf den Server übertragen und zusammen mit der Zertifikatskette in die jeweilige Applikation einbinden.

Zertifikate verwalten

Wenn Sie ein vorhandenes Zertifikat sperren, verlängern oder erneut herunterladen wollen, können Sie das über die folgende Schnittstelle tun:

https://cert-manager.com/customer/DFN/idp/ssl/FAU-Serverzertifikate-beantragen