Rechenzentrum


Navigation und Suche der Universität Osnabrück


Hauptinhalt

Topinformationen

Rootzertifikate

Rootzertifikate T-Telesec Global Root Class 2 (Wurzelzertifikat)
PEM-Format
DER-Format

DFN-Verein Certification Authority 2 
PEM-Format
DER-Format

DFN-Verein Global Issuing CA
PEM-Format
DER-Format

chain-Datei (eine Datei,
die alle Rootzertifikate enthält)
chain-Datei (PEM-Format)

Die Zertifizierungsinstanz des Rechenzentrums (UNIOS-CA G2)

Das Rechenzentrum betreibt für die Universität Osnabrück die Zertifizierungsinstanz UNIOS-CA. Diese nimmt, mittlerweile in der zweiten Generation als UNIOS-CA G2, an der DFN-PKI teil. Die Zertifizierungsstelle ist seit Juli 2007 an den DFN-Verein ausgelagert. Über die UNIOS-CA G2 können Server- und Benutzerzertifikate im X.509-Format beantragt und bezogen werden.

Wichtige Information: Einführung der zweiten Generation der UNIOS-CA, die UNIOS-CA G2

  1. Die Zertifizierungsstelle der ersten Generation, die UNIOS-CA, wird Mitte 2019 auslaufen. Parallel dazu wird die Zertifizierungsstelle UNIOS-CA G2 betrieben.
  2. Es ist bis Mitte 2019 möglich, wird aber nicht empfohlen, über die alte Zertifizierungsstelle Benutzer- oder Serverzertifikate zu beantragen. Alle dort ausgestellten Zertifikate verlieren ihre Gültigkeit spätestens Mitte des Jahres 2019.
    Der Grund für die Einführung einer neuen Generation der UNIOS CA liegt darin, dass das in der DFN PKI verwendetete Root (Wurzel)-Zertifikat der Deutschen Telekom seine Gültigkeit Mitte des Jahres 2019 verliert.
  3. Die neue Generation der DFN PKI verwendet als ROOT-Zertifikat das T-Telesec Global Root Class 2, das bis 2033 gültig ist.
  4. Die Abläufe zur Beantragung eines Zertifikates bleiben gleich. Was sich ändert, ist die Zertifikatskette (das Root Zertifikat sowie die beteiligten Zwischenzertifikate).
  5. Das T-Telesec Global Root Class 2 Root-Zertifikat der T-Telesec ist in allen gängigen Betriebssystemen bzw. Browsern vorinstalliert, mit Ausnahme von Android, dort ist es in der Version 4.4 und in den Vorgängerversionen nicht enthalten.

Für den Fall, dass ein Zertifikat über die alte UNIOS-CA beantragt werden muss, finden sich die Beschreibungen, die benötigten Webseiten zur Beantragung, sowie die alten Root- und Intermediate-Zertifikate unter: Alte UNIOS-CA (nur noch bis Mitte 2019 nutzbar).

Voraussetzungen

Alle Angehörigen der Universität Osnabrück können über die UNIOS-CA G2 Server- und Benutzerzertifikate im X.509-Format beantragen.

Wozu werden Zertifikate benötigt und wer stellt sie aus?

Es werden im Wesentlichen zwei Zertifikatstypen unterschieden: Serverzertifikate und Benutzerzertifkate.

  • Serverzertifikate werden eingesetzt, um Server wie Webmail, LDAP, IMAP oder wie den häufig eingesetzten Apache-Server SSLfähig (Secure Socket Layer) zu machen. Dadurch werden sichere Verbindungen garantiert, die verschlüsselte Daten zwischen Server und Clientanwendung übertragen.
  • Benutzerzertifikate sind personengebunden. Sie werden zum Verschlüsseln und/oder Signieren von E-Mails benötigt. Ein anderes Anwendungsbeispiel ist das Signieren von Programmcode, wie zum Beispiel Java-Applets mit Hilfe von Benutzerzertifikaten

Zertifikate werden von Zertifizierungsstellen ausgestellt. Wesentlich für die Qualität eines Zertifikats ist die Glaub- und Vertrauenswürdigkeit der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
Die Zertifizierungsstellen bilden dabei untereinander hierarchisch organisierte Vertrauensstellungen. Die T-Telesec ist eine Top-Level Zertifizierungsinstanz. Das heißt, sie untersteht keiner weiteren Zertifizierungsinstanz.
Jede folgende Zertifizierungsinstanz besitzt ein Zertifikat, dass zuvor von der übergeordneten Zertifizierungsstelle ausgestellt worden ist. Damit wird die Vertrauensstellung öffentlich dokumentiert. Für die UNIOS-CA G2 ergibt sich somit folgende Zertifizierungshierarchie:

Viele Programme, wie zum Beispiel Web-Browser oder E-Mail-Klienten, benötigen diese speziellen Zertifikate der Zertifizierungsstellen. Sie werden Root-Zertifikate genannt.

Zurückgerufene Zertifikate der UNIOS-CA G2

Die UNIOS-CA G2 veröffentlicht monatlich eine Zertifikatswiderrufsliste (Certification Revocation List). Sie enthält eine Liste aller Zertifikate, die von der UNIOS-CA G2 für ungültig erklärt worden sind. Die Zertifikatswiderrufsliste kann unter folgendem Link heruntergeladen beziehungsweise geöffnet werden:

Zertifikatswiderrufsliste der UNIOS-CA G2