Zertifikate | DFN-PKI
Wozu werden Zertifikate benötigt?
Wenn Sie vertrauliche Informationen wie z.B. Kontodaten, Transaktionsnummern oder Passworte an einen Webserver oder Mailserver übermitteln, muss die Verbindung zum Server verschlüsselt werden, damit nicht böswillige Dritte die Informationen abhören können. Der Server muss sich auch "ausweisen" und beweisen, dass er wirklich derjenige Server ist, der er zu sein vorgibt. Man sagt, der Server muss sich authentifizieren.
Beantragung von Nutzerzertifikaten
Für das zertifizierte Versenden und Verschlüsseln von E-Mails können Nutzerzertifikate beantragt werden. Eine Schritt für Schritt Anleitung finden Sie hier (https://www.uni-potsdam.de/de/mailup/allgemeines/sichere-e-mails).
Beantragung von Serverzertifikaten
Zertifikate für Server in den Institutionen und Einrichtungen der Universität Potsdam können über den Cert-Manager von Sectigo beantragt werden.
Für die Einrichtung müssen folgende Schritte durchlaufen werden:
1. Erstellen einer Zertifikatsanfrage
OpenSSL kann als Werkzeug unter Linux ( https://www.openssl.org/ ) und Windows ( http://slproweb.com/products/Win32OpenSSL.html ) genutzt werden. Unter Linux kann die Generierung zum Beispiel (hier für den Webserver openup.uni-potsdam.de) mit dem folgenden Befehl gestartet werden:
openssl req -newkey rsa:4096 -nodes -keyout openup.uni-potsdam.de-privatekey.pem -out openup.uni-potsdam.de-csr.pem -batch -subj "/C=DE/ST=Brandenburg/L=Potsdam/O=Universitaet Potsdam/CN=openup.uni-potsdam.de" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:openup.uni-potsdam.de,DNS:international-courses.uni-potsdam.de"))
Nach Ausführung dieses Befehls, werden ein privater Schlüssel "openup.uni-potsdam.de-privatekey.pem" und die Zertifikatsanfrage "openup.uni-potsdam.de-csr.pem" erzeugt. Der private Schlüssel muss sicher auf der Maschine verwahrt werden und sollte nur einem kleinen Kreis von zuständigen Administratoren zugänglich sein. Er wird später in Kombination mit dem Zertifikat für das Verschlüsseln der Verbindungen benötigt.
Beachten Sie bitte auch, wie in dem o.g. Beispiel eine weitere Domäne (sog. Subject Alternative Name, im Beispiel "international-courses.uni-potsdam.de") für das System hinzugefügt wurde. Diese Möglichkeit können auch Sie nutzen, um weitere Domain-Namen anzugeben, die später vom Zertifikat abgedeckt werden. Wenn Sie nur eine Domäne vermerken möchten, können Sie auch einen kürzeren Befehl verwenden:
openssl req -newkey rsa:4096 -nodes -keyout openup.uni-potsdam.de-privatekey.pem -out openup.uni-potsdam.de-csr.pem -batch -subj "/C=DE/ST=Brandenburg/L=Potsdam/O=Universitaet Potsdam/CN=openup.uni-potsdam.de"
Beachten Sie bitte auch, dass die Angabe einer OU inzwischen obsolet ist.
2. Zertifikatsanfrage hochladen
Über die Webschnittstelle der CA ( https://cert-manager.com/customer/DFN/ssl/uni-potsdam ) kann die in Schritt 1 erstellte Zertifikatsanfrage (CSR) hochgeladen werden.
Bitte loggen Sie sich dafür mit Ihren Accout.UP-Zugangsdaten ein. Dazu klicken Sie bitte auf "Your Institution". Anschließend wählen Sie "University of Potsdam" aus und geben in den Folgeformularen Ihre Zugangsdaten ein, wie Sie es auch von anderen Systemen bei uns gewohnt sind.
Anschließend befinden Sie sich in "Ihrem" persönlichen Bereich bei Sectigo, in dem Sie Ihre Zertifikate verwalten dürfen.
Wenn Sie auf "Enroll Certificate" klicken, können Sie ein neues Zertifikat anlegen.
Im dem dann folgenden Formular laden Sie bitte den CSR in dem genau so benannten Feld hoch oder fügen Sie den Inhalt des CSR über die Zwischenablage ein.
Unter "Subject Alternative Names" (siehe oben) können Sie, wenn gewünscht, noch weitere Domänen-Namen eintragen.
Des Weiteren haben Sie die Möglichkeit, unter "External Requesters" weitere E-Mail-Empfänger einzutragen. Diese erhalten -neben Ihnen- Benachrichtigungen im Zusammenhang mit dem zu erstellenden Zertifikat.
Es wird empfohlen, den Schalter "Auto Renew" zu aktivieren und einen für Sie adäquaten Zeitraum (z.B. 14 Tage) zu wählen. In diesem Fall erhalten Sie rechtzeitig einen Hinweis, bevor das Zertifikat abläuft und automatisch verlängert wird.
Mit einem Mausklick auf "Submit" senden Sie die Anfrage ab. Anschließend werden wir darüber informiert und prüfen zeitnah Ihren Zertifikatsantrag. Wenn alles in Ordnung ist, bestätigen wir den Antrag und Sie werden darüber informiert.
3. Das gültige Zertifikat
Nach erfolgreicher Identifizierung und Genehmigung des Antrages erhalten Sie eine E-Mail, die Links zu diversen Formaten Ihres Zertifikates enthält. Eine Verlinkung zu den Wurzelzertifikaten finden Sie ebenfalls in dieser Nachricht. Der Erhalt der E-Mail kann einige Stunden, normal nur wenige Minuten, dauern. Das Zertifikat können Sie nun auf Ihrer Maschine einbinden und verwenden. Für Apache-Webserver wäre zum Beispiel das Format "Certificate (w/ issuer after), PEM encoded" geeignet.
4. Wir sind für Sie da
Sollten Sie bei der o.g. Prozedur auf Schwierigkeiten stoßen, senden Sie uns bitte Ihren CSR oder die Domänen-Namen, für die Sie ein Zertifikat benötigen, per Mail zu ( zim-serviceuuni-potsdampde mit dem Betreff: "Frage DFN-PKI Zertifikate"). Selbstverständlich können Sie auf diesem Wege auch allgemeine Fragen zum Thema stellen, die Ihnen unter den Nägeln brennen. Wir sind gern für Sie da.