Die letzten Meldungen

Neues IT-Kursprogramm bis Oktober online

28. Juni 2017

Neue Kurse sind online. Studierende als Kursleiter für Excel & Co gesucht.
Weiterlesen...

Apple-Day am 06. Juli 2017 am RRZE, 10 – 16 Uhr

26. Juni 2017

Am 06. Juli 2017 findet am RRZE wieder der traditionelle Apple-Day statt.
Weiterlesen...

Störungen der Datennetzversorgung im Bereich der Tentoria-Süd / Bürocontainer E-Technik (Behoben)

21. Juni 2017

Durchtrennung der LWL/Glasfaser-Anbindung zwischen RRZE und Tentoria durch laufende Tiefbauarbeiten (Bagger).
Weiterlesen...

Meldungen nach Thema

 

Serverzertifikate

Achtung: Seit 07.04.2016 neues O-Attribut: Friedrich-Alexander-Universitaet Erlangen-Nuernberg!

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst zu beantragen. Dieses Zertifikat muss den Richtlinien der DFN-PKI entsprechen. Beachten Sie hier insbesondere Abschnitt 3.1.2 a) zur Namensform. Außerdem sind Sie verpflichtet, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten.
Das jeweilige Serverzertifikat ist maximal 39 Monate gültig.

Damit die Registrierungsstelle (RA) das Zertifikat beantragen kann, benötigen Sie:

  1. Eine funktionsfähige Installation von OpenSSL
  2. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format
  3. Einen Online-Antrag
  4. Den ausgedruckten Antrag ausfüllt und unterschrieben,
  5. Einen Termin bei der RA zur persönlichen Identifizierung ihrer Person

Open SSL

Externer Link:  Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein Externer Link:  Windows Installationspaket. Alle OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

PKCS#10-Zertifikat im PEM-Format generieren

  • Auf einem System (z.B. SLES) einloggen, welches mit openssl ausgestattet ist
  • Verzeichnis für Zertifikate erstellen
  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:

    openssl req -newkey rsa:2048 -keyout <Servername>.key -out <Servername>.csr

    Erklärungen:

    • openssl req - Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
    • -newkey rsa:2048 -Erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren. Es können natürlich auch längere Schlüssel erzeugt werden.
    • -keyout <Servername>.key - Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen.
    • -out <Servername>.csr - Zertifikatsantrag PKCS#10 im PEM-Format.

    Zusätzliche Felder:

    • -nodes - Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig.
    • -conf conf - Verwendet die Datei "conf" (Beispiel zum Download) für einige Voreinstellungen und weitere Namen die im Zertifikat enthalten sein sollen (SANs)
    • Weiterführende Informationen zur Nutzung von OpenSSL hier.
  • Abfragen beantworten

    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Friedrich-Alexander-Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: <Ihr Institutsname>

      Bei der Wahl der Zeichenkette für OU sind Sie nicht frei. Es sollte sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute und Kommata sollten nicht verwendet werden.

    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)
  • Alle Zertifikate müssen C=DE, ST=Bayern, L=Erlangen, O=Friedrich-Alexander-Universitaet Erlangen-Nuernberg enthalten.

Zertifikatantrag erstellen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen (z.B. mit WinSCP)
  • Webschnittstelle der CA aufrufen (Externer Link:  https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/)
    • Wählen Sie "Serverzertifikat" im Menü des Hauptpunktes "Zertifikate"
    • Formular ausfüllen
      • Zertifikatsrequest (Dateiendung .csr) hochladen
      • Zertifikatsprofil auswählen
      • Name des Antragstellers eingeben
      • E-Mail: Ihre Universitäts E-Mailadresse oder eine Funktionsadresse, an diese wird das Zertifikat versendet, keine Privatadresse möglich
      • Abteilung angeben (optional), z.B. die OU
      • PIN: Diese benötigen Sie, wenn Sie das Zertifikat sperren wollen bzw. müssen
    • Zertifizierungsrichtlinie lesen und zustimmen
    • Klicken Sie auf "Weiter" und bestätigen Sie Ihre Daten.
    • Zertifikatantrag anzeigen lassen und ausdrucken.

Bitte beachten Sie, dass diese Zertifikate eine begrenzte Gültigkeit bis zum 10.07.2019 haben.

Durch die Umstellung der DFN PKI Anfang 2017 auf eine neue Zertifikatshierarchie und damit verbunden das neue Wurzelzertifikat "T-TeleSec GlobalRoot Class 2" können bereits neue Zertifikat mit voller Gültigkeitsdauer erstellt werden. Allerdings ist das Wurzelzertifikat nicht in Geräten mit Android Versionen <= 4.4 vorinstalliert, daher können diese Geräte die Gültigkeit der ausgestellen Zertifikate nicht verifizieren. Sollte dies für Ihre Anwendung keine Rolle spielen, (die Verbreitung dieser Android Versionen nimmt zudem stetig ab), können Sie Externer Link:  hier die Zertifikate der neuen Hierarchie beantragen. Bitte beachten Sie, dass Sie dann auch ein neues Chain-File benötigen.

Zertifikatsantrag ausfüllen und unterschreiben

Den ausgedruckten Zertifikatsantrag füllen Sie bitte komplett aus und unterschreiben diesen.

Termin mit der RA

Kommen Sie mit ihrem Antrag und gültigem Personalausweis bzw. Reisepass zu einer unserer Kontaktpersonen Holger Marquardt, oder Daniel Götz. Entweder ohne Voranmeldung (und ohne Garantie) oder Sie vereinbaren einen Termin.

Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, wird Ihnen ihr unterschriebenes Zertifikat per E-Mail zugeschickt.

Anschließend müssen Sie das signierte Zertifikat und den privaten Key auf den Server übertragen und zusammen mit der Zertifikatskette in die jeweilige Applikation einbinden.

Letzte Änderung: 8. Februar 2017, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit