Zertifikate für Domain Controller
Die Zertifizierungsinstanz der Humboldt- Universität zu Berlin stellt für Domain Controller (DC) der Einrichtungen und Institute der Universität, welche auf Windowsbetriebssystemen (2000, 2003) basieren, Zertifikate aus.
DC Zertifikate können für LDAP-SSL, SSL Authentifizierung, SMTP Verschlüsselung, RPC Signatur eingesetzt werden.
Für das Smartcard basierende Windows-Logon sind sie erforderlich.
Da beim Einsatz der von uns verwendeten OpenCA keine automatischen Request von den Windows-DC an die Certification Authority (CA), und damit auch kein automatisches Ausstellen von Zertifikaten erfolgt, wird in diesem Fall das Schlüsselpaar durch die CA erzeugt und dem DC (Administrator) in einem importierbarem Format (p12/pfx) zur Installation übergeben.
Schlüssel erzeugen
Hierfür stellt Ihnen die CA einen besonderen Service zur Verfügung die "Serverseitige Schlüssel- und Antragserstellung". Hier übernimmt die CA für Sie die komplette Prozedur zur Schlüssel und Requesterzeugung.
Gehen Sie dazu auf das Onlineinterface und über aktuelle Endnutzer-DCA - Portal für Universitätsangehörige - Nutzer - Beantragen eines Zertifikates - Allgemeiner Zertifizierungsantrag öffnen Sie ein Formular.
Geben Sie die im Formular geforderten Angaben ein. Für die korrekten Auswertung des Zertifikates ist es wichtig, dass im Subject Alternative Name die objectGUID (Globally Unique Identifier) eingetragen ist. Der GUID ist ein 128 Bit Wert, welcher einem Objekt bei der Erstellung zugewiesen wird. Der Wert wird dann hexadezimal ohne Bindestriche in das Onlineformular eingegeben. Zur Ermittlung der GUID Ihres DC können Sie z.B. das Tool "Ldp.exe" aus dem Windows Administrations Kit verwenden.
Wählen Sie die Rolle "Domain Controller" und als Schlüssellänge mind. 1024 aus.
Die hier abgefragte PIN (bitte gut merken) ist die PIN für den Zugriff auf den privaten Schlüssels, diese wird auch später für den Download des p12/pfx Files und den Import am DC benötigt. Verwenden Sie hier keine allzu triviale PIN (mind. 6 Zeichen mit Buchstaben, Ziffern, Sonderzeichen).
Abbildung: Angaben Allgemeiner Zertifizierungsantrag
Auf der nächsten Seite sehen Sie eine Zusammenfassung Ihrer Angaben, wenn Sie Änderungen daran vornehmen wollen, benutzen Sie bitte den Zurückbutton Ihres Browsers.
Abbildung: Zusammenfassung Zertifizierungsantrag
Klicken Sie auf "Weiter", um den Vorgang abzuschliessen und gleichzeitig den Zertifikatrequest ins System zu übermitteln.
Im nächsten Fenster erhalten Sie die u.a. Information, unter welcher Seriennummer Ihr Request im System eingegangen ist.
Diese geben Sie bitte auf Ihrem schriftlichen Antrag mit an.
Abbildung: Bestätigungsinformation
schriftlicher Antrag und Identifizierung
Um Ihren Request abschließend zu bearbeiten und den Antragsteller zu identifizieren, geben Sie bitte Ihren ausgefüllten schriftlichen Antrag in einer Registration Authority (RA) ab und lassen sich mit einem Ausweisdokument (Personalausweis, Reisepass) identifizieren.
Eine RA finden Sie am Standort Mitte (Unter den Linden 6, Raum 1063, Tel:2093 2482), oder am Standort Adlershof (Rudower Chaussee 26, Raum 2'303,Tel:2093 7043).
Download des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angebene E-Mailadresse (Subject: OpenCA Zertifikatsinformationen) über die Ausstellung Ihres Zertifikates und dessen Seriennummer.
Sie können nun Ihr Schlüsselpaar als p12/pfx Datei über das Onlineinterface aktuelle Endnutzer-DCA - Portal für Universitätsangehörige - Zertifikate - Gültig/Suche downloaden. Wählen Sie dazu aus der Liste Ihr Zertifikat aus. Wenn Sie die Suchfunktion verwenden, achten Sie auf Groß-/Kleinschreibung. Platzhalter "*" können verwendet werden.
WICHTIG: Setzen Sie sich vor dem beabsichtigten Download Ihres Schlüsselpaares mit einem CA-Operator (Tel:2093 7043/2482) in Verbindung, da dieser die Downloadoption freigeben muss und Ihnen ein entsprechendes Passwort mitteilt. Des Weiteren ist dafür die Eingabe der PIN zum privaten Schlüssel für das Zertifikat erforderlich.
Abbildung: Download Zertifikat als p12/pfx Datei
Abbildung: Eingabe der PIN für den privaten Schlüssels
Abbildung: Eingabe des vom CA Operator vergebenem Passwort
Der DC Administrator speichert die Datei an einem sicherem Ort und teilt dem CA Operator den Download mit. Dieser entfernt die mögliche Downloadoption wieder. Danach kann auch der private Schlüssel aus der Datenbank der CA gelöscht werden.
Installation des Domain Controller Zertifikates
An Ihrem DC können Sie über MMC - Snap-In hinzufügen - Zertifikate - lokaler Computer - eigene Zertifikate - Aktion - alle Tasks - importieren, den privaten Schlüssel und das Zertifikat installieren.
Beide Auswahloptionen (Bild links) bleiben ungesetzt. Im nächsten Dialog sollte als Zertifikatspeicher „eigene Zertifikate“ automatisch gesetzt sein, wenn nicht dann bitte selbst wählen.
Nach erfolgreicher Installation des Schlüsselpaares ergibt sich folgendes Bild.
Abbildung: Installierter Schlüssel mit Zertifikat am DC
Support und persönliche Beratung erhalten Sie beim PKI-Service.