Wichtiger Hinweis:

Ab 30.12.2022 werden in der DFN-PKI Global keine Zertifikate für Datenverarbeitungssysteme mehr ausgestellt. Neue Serverzertifikate müssen spätestens ab diesem Zeitpunkt über das Sectigo TCS System beantragt werden. Eine Beantragung über Sectigo ist aber auch jetzt schon (parallel) möglich. Bitte beachten Sie, dass sich auch die Zertifikatskette im Sectigo System ändert.

Eine Beschreibung finden Sie unter https://www.rz.uos.de/dienste/unios-ca/sectigo-server.htm

Die Zertifizierungsinstanz des Rechenzentrums (UNIOS-CA G2)

Das Rechenzentrum betreibt für die Universität Osnabrück die Zertifizierungsinstanz UNIOS-CA. Diese nimmt, mittlerweile in der zweiten Generation als UNIOS-CA G2, an der DFN-PKI teil. Die Zertifizierungsstelle ist seit Juli 2007 an den DFN-Verein ausgelagert. Über die UNIOS-CA G2 können Server- und Nutzerzertifikate im X.509-Format beantragt und bezogen werden.

• Voraussetzungen
• Wozu werden Zertifikate benötigt und wer stellt sie aus?
• Beantragen eines Serverzertifikats
• Beantragen eines Nutzerzertifikats
• Anwendungsbeispiele (wie werden Zertifikate eingesetzt?)
• Nutzerzertifikate in Browsern verwenden (Authentifizieren mit Zertifikaten)
• Zertifikate aus Browser exportieren
• Serverzertifikat nutzen, um einen Apache Web-Server SSLfähig zu machen
• Nutzerzertifikat nutzen, um E-Mail zu verschlüsseln/signieren

Voraussetzungen

Alle Angehörigen der Universität Osnabrück dürfen über die UNIOS-CA G2 Server- und Nutzerzertifikate im X.509-Format beantragen.

Wozu werden Zertifikate benötigt und wer stellt sie aus?

Es werden im Wesentlichen zwei Zertifikatstypen unterschieden: Serverzertifikate und Nutzerzertifkate.

• Serverzertifikate werden eingesetzt, um Server wie Webmail, LDAP, IMAP oder wie den häufig eingesetzten Apache-Server SSLfähig (Secure Socket Layer) zu machen. Dadurch werden sichere Verbindungen garantiert, die verschlüsselte Daten zwischen Server und Clientanwendung übertragen.
• Nutzerzertifikate sind personengebunden. Sie werden zum Verschlüsseln und/oder Signieren von E-Mails benötigt. Ein anderes Anwendungsbeispiel ist das Signieren von Programmcode, wie zum Beispiel Java-Applets mit Hilfe von Nutzerzertifikaten.

Zertifikate werden von Zertifizierungsstellen ausgestellt. Wesentlich für die Qualität eines Zertifikats ist die Glaub- und Vertrauenswürdigkeit der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
Die Zertifizierungsstellen bilden dabei untereinander hierarchisch organisierte Vertrauensstellungen. Die T-Telesec ist eine Top-Level Zertifizierungsinstanz. Das heißt, sie untersteht keiner weiteren Zertifizierungsinstanz.
Jede folgende Zertifizierungsinstanz besitzt ein Zertifikat, dass zuvor von der übergeordneten Zertifizierungsstelle ausgestellt worden ist. Damit wird die Vertrauensstellung öffentlich dokumentiert. Für die UNIOS-CA G2 ergibt sich somit folgende Zertifizierungshierarchie:

• T-Telesec Global Root Class 2 (Wurzelzertifikat) (PEM-Format)
• T-Telesec Global Root Class 2 (Wurzelzertifikat) (DER-Format)
• DFN-Verein Certification Authority 2 (Aussteller: T-TeleSec GlobalRoot Class2) (PEM-Format)
• DFN-Verein Certification Authority 2 (Aussteller: T-TeleSec GlobalRoot Class2) (DER-Format)
• DFN-Verein Global Issuing CA (Aussteller: DFN-Verein Certification Authority 2) (PEM-Format)
• DFN-Verein Global Issuing CA (Aussteller: DFN-Verein Certification Authority 2) (DER-Format)

Viele Programme, wie zum Beispiel Web-Browser oder E-Mail-Klienten, benötigen diese speziellen Zertifikate der Zertifizierungsstellen. Sie werden Root-Zertifikate genannt.