Server-Zertifikat beantragen

In Einzelfällen, in welchen die Nutzung der zentral zur Verfügung gestellten Serversysteme der Universität nicht zweckmäßig ist und ausnahmsweise besonders qualifiziertes Personal für den sicheren Betrieb eines dezentral aufgestellten Servers bereitgestellt wird, ist es möglich, ein Serverzertifikat aus dem Sicherheitsniveau "Global" des DFN zu beantragen, welches von allen wichtigen Browsern und Mailclienten anerkannt wird.

  1. Der Antragsteller erzeugt mit den Mitteln seines Serverbetriebssystems ein Certificate Request und dabei ein asymmetrisches Schlüsselpaar. Folgende Angaben werden hier üblicherweise benötigt:
  • Land C=DE
  • Organisation O=Ruprecht-Karls-Universitaet Heidelberg
  • Organisationseinheit OU=(Institut)
  • Stadt/Ort L=Heidelberg
  • Provinz ST=Baden-Wuerttemberg
  • "Common Name" CN= (voll qualifizierter Servername wie im Nameserver)
  • Email-Adresse des Serververantwortlichen (entfällt ab 1.12.14)
  • Schlüssellänge >= 2048 bit

In der Linux-Welt werden dazu Kommandos folgender Art benutzt:

openssl genrsa -out ssl.key/server.key -rand randfile 2048

chmod og-rwx ssl.key/server.key

openssl req -new -key ssl.key/server.key -out ssl.csr/server.csr

  1. Der Zertifikatsrequest wird lokal in eine Datei abgespeichert.
  2. Der Antragsteller ruft eine spezielle Webseite beim DFN-Verein (Deutsches Forschungsnetz) auf und wählt dann den Punkt "Serverzertifikat" aus.

    In Ausnahmefällen (etwa für ein Android <= Version 4.4.) könnte es nötig sein, ein Zertifikat mit Laufzeit bis spätestens 9.7.2019 zu beantragen. Bitte setzen Sie sich in dem Fall mit unserem IT-Service in Verbindung.

    Hintergrund: Das Wurzelzertifikat „Deutsche Telekom Root CA 2“, mit dem die DFN-PKI seit 2007 betrieben wird, läuft am 9. Juli 2019 aus. Alle in dieser Zertifizierungshierarche ausgestellten Zertifikate haben also eine Gültigkeit bis spätestens 9. Juli 2019.
    Das von der DFN-PKI für den Betrieb über den 9. Juli 2019 hinaus angebotene neue Wurzelzertifikat: „T-TeleSec GlobalRoot Class 2“ ist bereits in allen relevanten Betriebssystemen und Browsern vorinstalliert. Ausnahme ist Android <=4.4

    Mehr Infos im DFN-PKI Blog.
  3. Auf dieser Seite wird nun ein Antragsformular ausgefüllt, welches insbesondere weitere Namensangaben und Einverständniserklärungen enthält sowie das Hochladen der abgespeicherten Request-Datei verlangt.
  4. Der Antrag wird ausgedruckt.
  5. Der Antragsteller muss als Server-Verantwortlicher von einer administrativen Kontaktperson (festangestellte/r EDV-Beauftragte/r oder Geschäftsführende/ Direktor/in) akkreditiert werden.
  6. In der Registrierungsstelle (RA) im IT-Service des URZ wird der ausgedruckte Antrag sowie das Akkreditierungsschreiben persönlich mitgebracht und eigenhändig unterschrieben.
  7. Nachdem alle Angaben erfolgreich überprüft wurden (insb. ob der so genannte Fingerprint übereinstimmt), wird der Antrag von der Registrierungsstelle freigegeben.
  8. Kurze Zeit später wird das ausgestellte Zertifikat dem Antragsteller von der Zertifizierungsstelle (CA) des DFN-Vereins per E-Mail zugesandt.
  9. Abschließend muss das eigene Zertifikat in die eigene Server-Umgebung eingebracht werden, was abhängig vom verwendeten System ist.  Falls der Server nicht die gesamte Zertifikatskette mitschickt, muss der Betreiber diese zur Verfügung stellen, d. h. Links dazu:

    https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=4480
    bzw.
    https://pki.pca.dfn.de/uni-heidelberg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=0 (alt)