Humboldt-Universität zu Berlin - Computer- und Medienservice

SSL/TLS-Zertifikate

Wie seit langem angekündigt, werden wir ab 30.12.2022 keine Serverzertifikate mehr in der DFN-PKI Global ausstellen.
Bestehende Serverzertifikate bleiben natürlich bis zum Ende ihrer vorgesehene Laufzeit gültig.
Serverzertifikate beziehen Sie ab dem 30.12.2022 ausschließlich aus GÉANT TCS.

 

Die uns zur Verfügung stehende Zertifizierungsinstanz der Humboldt- Universität zu Berlin stellt SSL/TLS-Zertifikate für Server der Einrichtungen und Institute der Universität aus. Dies war bisher die Zertififizierungsinstanz DFN-PKI Sicherheitsniveau „Global“.
Ende 2022 wurde die Ausgabe von SSL/TLS-Zertifikaten aus der DFN-PKI für browserverankerte SSL/TLS-Zertifikate eingestellt und wir stellen diese Zertifikate zukünftig über den paneuropäischen Verbund GÉANT Trusted Certificate Services (TCS) aus. Siehe auch Artikel zur Weiterentwicklung.
Diese Umstellung geht damit einher, dass nach und nach alle Server mit browserverankerten SSL/TLS-Zertifikaten der HU-Berlin Zertifikate vom derzeitigen Aussteller Sectigo beziehen werden.


SSL/TLS-Zertifikate können beantragt werden von IT-Beauftragten der HU-Einrichtungen, sowie von denen namentlich benannten Administratoren. Ebenso von MA der HU-Berlin die Serverbetreiber sind und sich per SSO für die Beantragung authentifiziert, oder ihre Zertifikatanfrage per S/MIME-basierender Signatur eingereicht haben. Das dafür verwendete Zertifikat muss ein durch die HU-PKI ausgestelltes Nutzerzertifikat sein

SSL/TLS-Zertifikate können sie auf verschiedene Weise beantragen.

automatisiertes Zertifikatenrollment mittels ACME (empfohlen)

Wenn Ihr Server ein automatisiertes Zertifikatenrollment via ACME (certbot, win-acme,...) unterstützt können Sie dafür einen ACME-Account erhalten und automatisiert Zertifikate erhalten.
Diese Zertifikate werden von unserem neuen GÈANT-TCS Zertifikatservice ausgegeben.

Für das Einrichten eines ACME-Accounts wenden Sie sich bitte per S/MIME-signierter E-Mail an pki@hu-berlin.de
Teilen Sie mit für welche Einrichtung und welche Domain/s (FQDNs) über ACME Zertifikate bezogen werden sollen.

 
Request an die Zertifizierungsinstanz senden

Ihren selbst generierten Request (CSR) können Sie über ein Webfrontend zur Zertifizierung an die Zertifizierungsinstanz übermittelt. Da diese eingereichten Request von Hand bestätigt werden, kann die Bearbeitung einige Zeit dauern.

 

An unsere neue GÈANT-TCS-CA. Anleitung

Verfügbar ab sofort. Mehr Informationen hier.

Informationen zu den verwenden CA-Zertifikaten.

 

Bisherige DFN-Verein Global Issuing CA.

Informationen zu den verwendeten CA-Zertifikaten