Universität Heidelberg
Universitätsrechenzentrum Heidelberg Logo

Anleitung Server-Zertifikat erstellen

Folgende Anleitung erklärt, wie Sie ein Server-Zertifikat erstellen können.

Bitte beachten SIe, dass der bzw. die Anfragende als IT-Beauftragte:r, EDV-Beauftragte:r, Zertifikatsbeauftragte:r gemeldet oder Mitarbeiter am URZ sein muss.

1a) Erzeugen Sie mit den Mitteln Ihres Serverbetriebssystems ein ECC Schlüsselpaar.
Unter Linux verwenden Sie hierfür:
    openssl ecparam -out server.key -name secp384r1 -genkey
    chmod og-rwx server.key
1b) Wenn Kompatibilität mit alten Systemen notwendig ist, kann alternativ ein RSA-Schlüsselpaar erstellt werden:
    dd if=/dev/urandom of=randfile bs=4096 count=1
    openssl genrsa -out server.key -rand randfile 4096
    chmod og-rwx server.key

2a) Zum Erstellen des CSR wird folgender Befehl genutzt:
    openssl req -new -key server.key -out server.csr
Hierbei werden folgende Informationen benötigt:

  • Land C=DE
  • Provinz ST=Baden-Wuerttemberg
  • Organisation O=Ruprecht-Karls-Universitaet Heidelberg
  • „Common Name“ CN= (voll qualifizierter Servername wie im Nameserver)

 2b) Wenn SAN eingesetzt werden, kann unsere Config-Datei heruntergeladen werden. Anschließend müssen darin sowohl der CN als auch alle SAN entsprechend angepasst werden. Der CSR selbst wird dann erstellt mit:
     openssl req -new -key server.key -out server.csr -config server.conf

3) Kopieren Sie den Certificate Sign Request „server.csr“ auf Ihr lokales System und rufen Sie die universitäre Seite zum Beantragen von Serverzertifikaten „CertMine“ entweder aus dem Universitätsnetz oder dem VPN auf.

4) Hier melden Sie sich mit Ihrer ID und Ihrem Kennwort an. Nur IT- bzw. EDV-Beauftragten, Zertifikatsbeauftragten und Mitarbeitern des URZ ist der Login gestattet.

CertMine Login

5) Geben Sie nun über das Web-Fomular den abzugebenden CSR an. Anschließend klicken Sie auf die Schaltfläche "Absenden".

SSL-Zertifikat beantragen

6) Prüfen Sie auf der folgenden Seite alle Angaben noch einmal genau auf ihre Richtigkeit. Wenn diesen korrekt sind, können Sie nun Ihren Antrag über die Schaltfläche „Einreichen“ zur weiteren Bearbeitung absenden.

CSR prüfen

7) Anschließend erscheint der Antrag als oberste Zeile in der Liste ihrer Anfragen. Daraufhin haben Sie die Möglichkeit weitere Zertifikate zu beantragen oder sich auszuloggen. Sobald das Zertifikat den Status „Verfügbar“ erreicht, können Sie es über die drei Download-Pfeile in der Zeile des entsprechenden Zertifikats rechts herunterladen. Hier stehen Ihnen die Optionen „Zertifikat (pem)“, „Zertifikat + Chain (pem)“ und  „Zertifikat + Chain (pkcs7)“ in dieser Reihenfolge zur Verfügung.

Liste der Zertifikatsanträge

8) Nach Abgabe des Antrags prüft das URZ den Antrag und gibt ihn im Normalfall bis zum nächsten Arbeitstag frei. Falls noch Unklarheiten bestehen, melden wir uns bei ihnen. Sobald wir den Antrag genehmigt haben, stellt die CA das Zertifikat aus und wir informieren Sie mit den Links zum Download über den Abschluss der Beantragung.

9) Die Zertifikats-Datei sowie evtl. die Zertifizierungsketten müssen anschließend auf den Server kopiert und dort in dem Webserver eingetragen werden.

English

Kontakt