Rechenzentrum


Navigation und Suche der Universität Osnabrück


Hauptinhalt

Topinformationen

Wichtiger Hinweis:

Ab 30.12.2022 werden in der DFN-PKI Global keine Zertifikate für Datenverarbeitungssysteme mehr ausgestellt. Neue Serverzertifikate müssen spätestens ab diesem Zeitpunkt über das Sectigo TCS System beantragt werden. Eine Beantragung über Sectigo ist aber auch jetzt schon (parallel) möglich. Bitte beachten Sie, dass sich auch die Zertifikatskette im Sectigo System ändert.

Eine Beschreibung finden Sie unter https://www.rz.uos.de/dienste/unios-ca/sectigo-server.htm

Beantragen eines Serverzertifikats über die UNIOS-CA-G2

Alle Angehörigen der Universität Osnabrück sind berechtigt, über die UNIOS-CA-G2 Serverzertifikate im X.509-Format zu beantragen. Der Betrieb der UNIOS-CA-G2 und das Verfahren zur Ausstellung von Zertifikaten werden durch genau festgelegte Policies (Richtlinien) geregelt. Um ein Serverzertifikat von der UNIOS-CA-G2 zu erhalten, sind außer dem Lesen der DFN-PCA Policies verschiedene Arbeitsschritte nötig. Dieser Text beschreibt die Beantragung eines Serverzertifikates mit Hilfe einer eigenen CSR-Datei (Serverzertifikat-Requestdatei) im pem-Format, die zuvor mit einem generierten privaten Server-Schlüssel erzeugt wurde.

Hinweis: Die DFN-PKI Schnittstelle https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4730/ bietet alternativ unter dem Punkt "Serverzertifikat (inkl. Schlüsselerzeugung)" die Beantragung eines Serverzertifikates ohne CSR-Datei (Serverzertifikat-Requestdatei) an. Dieses Verfahren wird hier zurzeit nicht beschrieben.
Hinweis: Die von der UNIOS-CA-G2 ausgestellten Serverzertifikate haben eine Laufzeit von maximal 397 Tagen!

Der folgende Leitfaden beschreibt systematisch die benötigten Arbeitsschritte und bietet Beispiele.

Leitfaden

Lesen der Policies

Zertifizierungsrichtlinie der DFN-PKI

Erklärung zum Zertifizierungsbetrieb der DFN-PKI

Pflichten der Teilnehmer der DFN-PKI

Informationen für Zertifikatinhaber in der DFN-PKI

Erzeugen eines privaten Schlüssels

Um einen Request für ein Serverzertifikat zu erzeugen muss, sofern noch nicht geschehen, ein privater Schlüssel generiert werden.
Im folgenden Beispiel wird mit der Software openssl ein privater Schlüssel für einen Apache-Webserver generiert. Die Open-Source Software openssl ist für alle gängigen Betriebssysteme erhältlich (http://www.openssl.org).

openssl-Befehl zur Erzeugung des privaten Schlüssels
openssl genrsa -des3 -out /etc/openssl/private/apachekey.pem 2048

Hinweis:

  • Die im Beispiel angegebenen Pfade müssen je nach Installation und Konfiguration des openssl-Programms angepasst werden.
  • Die Schlüssellänge muss, wie im Beispiel angegeben, mindestens 2048 Bit betragen.
  • Der private Schlüssel darf nie an Dritte, auch nicht an die UNIOS-CA-G2, weitergegeben werden.

Erzeugen des Serverzertifikat-Requests

Mit Hilfe des privaten Schlüssels werden der Request und der öffentliche Schlüssel für das Serverzertifikat generiert. Das folgende Beispiel benutzt den zuvor generierten privaten Schlüssel "apachekey.pem", um den Request zu erzeugen.

Hinweis: Die im folgenden Beispiel angegebenen Pfade müssen je nach Installationsort des openssl-Tools und dessen Konfiguration angepasst werden.
Hinweis: Die UNIOS-CA G2 akzeptiert nur Requests im *.pem Format (Privacy Enhanced Mail).

openssl Befehl zur Erzeugung des Requests und des öffentlichen Schlüssels
openssl req -new -sha1 -key /etc/openssl/private/apachekey.pem -out /etc/openssl/req/apachereq.pem

Der openssl req-Befehl erwartet jetzt die Eingabe der in der Liste aufgeführten Attribute. Diese müssen im Request korrekt enthalten sein.

Attribut Werte Im Antrag angezeigt mit folgendem Kürzel Erläuterung
Country Name (2 letter code) DE C muss DE sein
State or Province Name (full name) Niedersachsen ST muss Niedersachsen sein
Locality Name (eg, city) Osnabrueck L muss Osnabrueck sein
Organization Name Universitaet Osnabrueck O muss Universitaet Osnabrueck sein
Organizational Unit Name   OU muss leer bleiben, wird im Antrag angegeben
common name webmail.rz.uni-osnabrueck.de CN vollqualifizierter Servername
Email Address     muss leer bleiben, wird im Antrag angegeben

Beantragen des Serverzertifikats und Upload des Serverzertifikat-Requests

Um ein Serverzertifikat mit eigener Requestdatei zu beantragen, wird die folgende Webseite aufgerufen:

https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4730/

Hier ist die Schaltfläche "CSR-Datei (PKCS#10) einreichen" auszuwählen.

Die Formularseite "Eigene CSR-Datei (PKCS#10) einreichen" erwartet die folgenden Angaben:

  • Zertifikatsprofil: (hier: Web-Server)
  • CSR (PKCS#10) Datei (e.g. .pem): hochladen der Serverzertifikat-Requestdatei (hier: c:\etc\openssl\req\apachereq.pem)
  • Vollständiger Name *: (hier: Xaver Muster)
  • E-Mail *: (hier: xmuster@uos.de)
  • Abteilung *: (hier: Rechenzentrum)
  • Sperr-PIN *: Eingabe eines Passworts
  • Sperr-PIN Bestätigung *: erneute Eingabe des Passworts
  • Verpflichtungserklärung der Einhaltung der Regeln ...: muss akzeptiert werden
  • Einverständniserklärung zur Veröffentlichung des Zertifikats: kann ausgewählt werden
  • Die Informationen über die Verarbeitung personenbezogener Daten ...: müssen akzeptiert werden

Die Erfassung der Antragsdaten wird über Weiter abgeschlossen.

Der Zertifikatsantrag wird angezeigt. Sind die Antragsdaten korrekt, ist die Schaltfläche "Antragsdatei speichern" zu wählen.

Hinweis: Die Antragsdatei wird benötigt, wenn das genehmigte Serverzertifikat über die DFN-PKI Schnittstelle abgeholt werden soll. Standardmäßig ist dies nicht nötig, da das Serverzertifikat nach Genehmigung per E-Mail an den/die Antragsteller:in versendet wird.

Der folgende Dialog erwartet aus Sicherheitsgründen ein Passwort. Dieses wird für das Speichern der Antragsdatei benötigt und muss durch zweimalige Eingabe verifiziert werden. Dieser Dialogschritt wird mit OK beendet.

Die Antragsdatei (hier: Antragsdatei_webmail.rz.uni-osnabrueck.de_114640672_2022-04-21.json) wird jetzt automatisch im Downloadverzeichnis des Browsers (hier: C:/Download) abgelegt.

Das Zertifikatsantragsformular wird nun über den Link "Zertifikatantragsformular (PDF) herunterladen" heruntergeladen.

Das Antragsformular wird im pdf-Format in das Downloadverzeichnis des Browsers gelegt und muss nun geöffnet und ausgedruckt werden. Anschließend muss der/die Antragsteller:in das Formular unterschreiben.

Der/die Antragsteller:in muss jetzt den ausgefüllten Antrag an eine der Ansprechpersonen der UNIOS-CA G2 übermitteln. Diese leitet dann die notwendigen Schritte für die Genehmigung des Serverzertifikates ein.

Adresse UNIOS-CA G2 Ansprechpersonen UNIOS-CA G2

Gebäude 94

Universität Osnabrück
- Rechenzentrum -
Nelson-Mandela-Straße 4
49076 Osnabrück

Wolfgang Meyer (2336)
Dirk Kastens (2347)
Ursula Poertgen (2311)
Gernot Skalla (2346)
Ansgar Hockmann-Stolle (2749)

   

Gebäude 14 - Uhrenflügel
Raum 14/E09

 

Universität Osnabrück
- Rechenzentrum -
Neuer Graben 29
49076 Osnabrück

Sebastian Kohn (2309)

Ausstellen des Serverzertifikats

Das Server-Zertifikat wird nach Prüfung des Antrags im *.pem Format erzeugt und per E-Mail an den/die Antragsteller:in übermittelt.