Serverzertifikate beantragen

Server Zertifikate beantragen

Zertifikate für Server in den Instituten und Einrichtungen (den Organisationseinheiten) können über die Web-Schnittstelle des DFN beantragt werden. Dazu benötigen Sie

  • eine funktionsfähige Installation von OpenSSL, um den Schlüssel zu generieren.

  • einen digitalen PKCS#10-Zertifikatantrag im PEM-Format.

  • den ausgedruckten und unterschriebenen Online-Antrag.
  • die vollständig ausgefüllte Teilnehmer-Erklärung.

  • einen Termin bei der Registrierungsstelle der UniKassel-CA zur persönlichen Identifizierung (Personalausweis!).

OpenSSL

OpenSSL wird als fertiges Pakete bei den meisten Linux-Distributionen mitgeliefert. Sofern Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein Windows Installationspaket. OpenSSL ist ein Werkzeugkasten mit verschiedenen Programmen u.a. zur Verarbeitung und Erzeugung von elektronischen Zertifikatsanträgen und Zertifikaten. Alle OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche. Sie benötigen also auch unter Windows ein Kommandozeilen-Fenster ( CMD.EXE ).

Nach oben

PKCS#10-Zertifikatantrag

Der elektronische Zertifikatsantrag, (engl. Certificate Signing Request, CSR), enthält folgende Informationen

  • Eine Zeichenkette, den so genannten Distinguished Name (DN), der den Server eindeutig identifiziert und einer Organisationseinheit der UniKassel zuordnet. Beispiel C="DE", O="Universitaet Kassel", OU="IT Service Center", CN="www.uni-kassel.de"

    • Die UniKassel-CA kann nur Zertifikate mit C="DE", O="Universitaet Kassel" ausstellen.

    • Mit OU (Organisational Unit) wird die Organisationseinheit bezeichnet, die den Server betreibt. Bei der Wahl der Zeichenkette für OU sind Sie nicht frei. Es sollte sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute und Kommata sollen nicht verwendet werden. Halten Sie ggf. vorher Rücksprache mit der UniKassel-CA (Liste von Bezeichnungen).

    • CN ist der Common Name, d.h. für einen Server der vollständige DNS-Name (Fully Qualified Domain Name, FQDN). Jeder Webbrowser wird prüfen, ob der Common Name im präsentierten Zertifikat mit der aufgerufenen URL übereinstimmt. Andernfalls gibt es eine Zertifikatswarnung.

  • Den öffentlichen Schlüssel eines von Ihnen persönlich erzeugten Schlüsselpaares

Die inhaltliche Struktur für diesen elektronische Zertifikatsantrag ist als PKCS#10 genormt. Es gibt dann zwei Alternativen für das Dateiformat, nämlich ein binäres Format (DER) oder ein druckbares Format PEM. Im druckbaren PEM-Format lassen sich die Dateien in einem Editor ansehen und einfach per Mail versenden.

Wählen Sie zum Erzeugen des Zertifikatsantrages einen vertrauenswürdigen Computer, denn dabei wird ein Schlüsselpaar aus einem geheimen (private key) und einem öffentlichen (public key) Schlüssel erzeugt. Der geheime Schlüssel darf nicht in falsche Hände geraten!

Mit OpenSSL erzeugen Sie den Zertifikatsantrag mit nachfolgendem Befehl. Dabei muss der gesamte Befehl in einer Zeile stehen. Für die Übersichtlichkeit sind hier Zeilenumbrüche eingefügt. Am besten legen Sie sich eine Kommandodatei (Shell-Script, CMD/BAT-Datei) mit dem Befehl an (falls Sie sich vertippen).

Beispiel

# Serverkey ohne Passwort erzeugen
openssl genrsa -out server-ohne-passphrase.key 4096

# Key/Infos anzeigenlassen
openssl rsa -noout -text -in server-ohne-passphrase.key

# *.csr / Antrag für CA erzeugen
# Dieses *.csr wird über das Webinterface an die CA geschickt
openssl req -new -key server-ohne-passphrase.key -out server.csr

# Country Name (2 letter code) [AU]:DE
# State or Province Name (full name) [Some-State]:Hessen
# Locality Name (eg, city) []:Kassel
# Organization Name (eg, company) [Internet Widgits Pty 
Ltd]:Universitaet Kassel
# Organizational Unit Name (eg, section) []:Orga-Einheit
# Common Name (eg, YOUR name) []: DOMAINNAME
# Email Address []: ADMIN-EMAIL

# Please enter the following 'extra' attributes
# to be sent with your certificate request
# A challenge password []:
# An optional company name []:

Zur Erklärung (siehe auch req man page): es bedeuten

  • openssl req ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
  • -batch bewirkt das Ausführen im nicht-interaktiven Modus.
  • -sha1 gibt die SHA1 Prüfsumme (fingerprint) des Zertifikatsantrags aus.

  • -newkey 2048:rsa erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren.
  • -passout pass:geheim sorgt dafür, dass der geheime Schlüssel mit dem Passwort geheim verschlüsselt wird. Bitte wählen Sie hier ein anderes, besseres Passwort. Allerdings hängt es später von der Konfiguration des Webservers ab, ob der geheime Schlüssel verschlüsselt bleiben kann. Wenn der geheime Schlüssel verschlüsselt vorliegt, dann kann der Webserver ohne manuelle Eingabe dieses Passwortes nicht mehr starten. Beim Neustart müsste also immer dieses Passwort eingegeben werden.

  • -keyout private_key_enc.pem speichert den geheimen Schlüssel (private key) verschlüsselt in der Datei mit Namen private_key.pem. Passen Sie gut auf diesen Schlüssel auf, denn Sie dürfen Ihn weder verlieren noch darf der Schlüssel in falsche Hände gelangen.

  • -out csr.pem legt den neuen Zertifikatsantrag PKCS#10 in der Datei csr.pem im PEM-Format ab.
  • -subj "/C=DE/O=Uni…" gibt den Distinguished Name für den Server an. OrganisationalUnit ist die offizielle Bezeichnung Ihrer Organisationseinheit. Es kann auch eine zweite OU angegeben werden, z.B. für Institute innerhalb eines Fachbereichs. FQDN-Hostname ist der vollständige Domainname des Servers.

Nach oben

DFN Online-Antrag: Server-Zertifikat

Der Fachbereich Elektrotechnik/Informatik betreibt eine eigene Unter-RA

 

Für den Online-Antrag benötigen Sie die zuvor erzeugte Datei csr.pem mit dem PKCS#10-Zertifikatsantrag im PEM-Format und einen Webbrowser. Stellen Sie sicher, dass in dem Webbrowser die Wurzelzertifikate der DFN-PKI importiert worden sind.

Diese sind auch erreichbar über die Web-Schnittstelle, CA-Zertifikate -> Wurzelzertifikat bzw. DFN-PCA-Zertifkat.

Sie dürfen auf keinen Fall bei Aufruf des Antragformulars eine Zertifikatswarnung erhalten.

Rufen Sie nun in Ihrem Webbrowser die Seite Einstiegsseite der UniKassel-CA auf.

Einstiegsseite Uni Kassel CA

Nach oben

Beantragen

Dort klicken Sie im Menü auf "Zertifikate"und anschließend auf "Serverzertifikat".

Formular Serverzertifikat beantragen

Nach oben

Zunächst müssen Sie die zuvor erzeugte .pem  Datei auswählen. Klicken Sie dazu auf "Durchsuchen..." und wählen Sie die entsprechende Datei aus. Für Webserver wählen Sie das Profil Webserver. Unter den Nutzerangaben müssen die Daten vom Antragsteller eingegeben werden. An die E-Mail-Adresse des Antragstellers wird später das Zertifikat versendet. Diese E-Mail-Adresse muss schon bei der Antragstellung gültig sein.

Wählen Sie eine PIN und notieren sie sich diese den späteren Gebrauch. Stimmen Sie der Veröffentlichung ggf. des Zertifikats zu. Lesen Sie die Zertifizierungsrichtlinie, damit Sie dieser zustimmen können. Diese ist auch nachzulesen unter der Web-Schnittstelle -> Policies -> DFN-PKI-Policy.

Wenn Sie mit Ihren Eingaben zufrieden sind, klicken Sie auf "Weiter". Nun können Sie Ihre Angaben überprüfen und mit einer Bestätigung den Vorgang abschließen.

Drucken Sie dieses Formular aus und füllen Sie die Felder aus. Für die Teilnehmer-Erklärung benötigen Sie die Seriennummer dieses Online-Antrages.

Teilnehmer-Erklärung

Füllen Sie nun die Teilnehmer-Erklärung. aus. Die Teilnehmer-Erklärung muss von Ihnen und dem Leiter der Organisationseinheit (Institut oder Einrichtung) unterschrieben werden.

Nach oben

Liste der Einrichtungen

  • Erziehungswissenschaft, Humanwissenschaften
    Institut für Erziehungswissenschaft
    Medienpädagogik
    Institut für Philosophie
    Institut für Psychoanalyse
    Institut für Ev. Theologie/Religionspädagogik
    Institut für Kath. Theologie
    Musik

  • Sprach- und Literaturwissenschaften
    Institut für Anglistik/Amerikanistik
    Institut für Germanistik
    Institut für Romanistik

  • Sozialwesen
    Institut für Sozialpädagogik und Soziologie der Lebensalter
    Institut Sozialpolitik und Organisation Sozialer Dienste
    Institut für Soziale Therapie, Supervision und Organisationsberatung
    Institut für Psychologie

  • Gesellschaftswissenschaften
    Geschichte
    Politik
    Soziologie
    Geographie

  • Architektur, Stadtplanung, Landschaftsplanung

  • Wirtschaftswissenschaften
    Institut für Betriebswirtschaftslehre
    Institut für Volkswirtschaftslehre
    Institut für Berufsbildung
    Institut für Wirtschaftsrecht

  • Ökologische Agrarwissenschaften
    Institut für Nutzpflanzenkunde (INK)
    Institut für soziokulturelle Studien

  • Bauingenieurwesen
    Institut für Baustatik und Baudynamik (IBSD)
    Institut für Bauwirtschaft (IBW)
    Institut für Geotechnik und Geohydralik (IGG)
    Institut für Konstruktiven Ingenieurbau (IKI)
    Institut für Verkehrswesen (IVW)
    Institut für Wasser, Abfall, Umwelt (IWAU)

  • Maschinenbau
    Institut für Mechanik
    Institut für Mess- und Automatisierungstechnik
    Institut für Werkstofftechnik
    Institut für Maschinenelemente und Konstruktionstechnik
    Institut für Produktionstechnik und Logistik
    Institut für Thermische Energietechnik
    Institut für Arbeitswissenschaft

  • Mathematik und Naturwissenschaften
    Institut für Mathematik
    Institut für Biologie
    Institut für Chemie
    Institut für Physik

  • KHS Kunsthochschule Kassel
    Visuelle Kommunikation
    Bildende Kunst, Kunstpädagogik
    Produkt Design
    Kunstwissenschaft

  • Internationales Zentrum für Hochschulforschung Kassel (INCHER-Kassel)

  • WZ für Umweltsystemforschung (CESR)

  • Center for Interdisciplinary Nanostructure Science and Technology (CINSaT)

  • Forschungszentrum für Informationstechnik-Gestaltung (ITeG)

  • IAG Frauen- und Geschlechterforschung

  • IAG Grundschulpädagogik

  • IAG Kulturforschung

  • ZLB Zentrum für Lehrerbildung

Nach oben

Sonstige Einrichtungen

  • Bibliothek

  • IT-Servicezentrum (ITS)

  • Internationales Studienzentrum
    Sprachenzentrum
    Studienkolleg für ausländische Studierende

  • Studentenwerk Kassel
    Psychsoziale Beratungsstelle

  • UniKasselTransfer
    Forschungsreferat
    OST-WEST-Wissenschaftszentrum
    Patentinformationszentrum (PIZ)
    Technologietransfer
    GINo Gesellschaft für Innovation Nordhessen mbH

  • Uniwerkstätten

  • Zentrale Universitätsverwaltung
    Referat E (Entwicklungsplanung von Forschung und Lehre)
    Justiziariat
    Abt. IR - Interne Revision
    Abt. II - Studium und Lehre
    Abt. III - Personalabteilung
    Abt. IV - Haushalts- und Finanzabteilung
    Abt. V - Bau, Technik, Liegenschaften
    Abt. VII - Kommunikaton und Internationales

  • Servicecenter Lehre (SCL)

Nach oben

Identifizierung bei der Registrierungsstelle

Der Antragsteller vereinbart einen Termin zur Identifizierung bei der Registrierungsstelle und bringt dazu folgende Dokumente mit:

  • seinen gültigen Personalausweis
  • den ausgedruckten, ausgefüllten und unterschriebenen Online-Antrag
  • die ausgefüllte, unterschriebene Teilnehmer-Erklärung.

Erhalt des Zertifikats

Nach der Identifizierung und Überprüfung der Dokumente wird die Registrierungsstelle den Online-Antrag digital signieren. Daraufhin sollten Sie nach ein paar Stunden ihr Zertifikat per E-Mail an die Adresse erhalten, die Sie im Online-Antrag angegeben haben.

Wie dann ihr Server (z.B. Webserver) konfiguriert werden muss, damit er das neue Zertifikat verwendet, ist abhängig von der konkreten Software. Wichtig ist vor allem, dass der Server auch die gesamte Zertifikatskette ausliefert, d.h. er liefert nicht nur sein eigenes Zertifikat sondern auch die Zertifikate aller übergeordneten Zertifizierungsinstanzen aus. In unserem Fall sind das die Zertifikate der DFN-Verein PCA Classic - G01 (Wurzelzertifikat) und auch das Zertifikat der nachgeordneten Zertifizierungsinstanz UniKassel-CA.