SSL/TLS-Zertifikate
Die uns zur Verfügung stehende Zertifizierungsinstanz der Humboldt- Universität zu Berlin stellt SSL/TLS-Zertifikate für Server der Einrichtungen und Institute der Universität aus. Dies war bisher die Zertififizierungsinstanz DFN-PKI Sicherheitsniveau „Global“.
Ende 2022 wurde die Ausgabe von SSL/TLS-Zertifikaten aus der DFN-PKI für browserverankerte SSL/TLS-Zertifikate eingestellt und wir stellen diese Zertifikate zukünftig über den paneuropäischen Verbund GÉANT Trusted Certificate Services (TCS) aus. Siehe auch Artikel zur Weiterentwicklung.
Diese Umstellung geht damit einher, dass nach und nach alle Server mit browserverankerten SSL/TLS-Zertifikaten der HU-Berlin Zertifikate vom derzeitigen Aussteller Sectigo beziehen werden.
SSL/TLS-Zertifikate können beantragt werden von IT-Beauftragten der HU-Einrichtungen, sowie von denen namentlich benannten Administratoren. Ebenso von MA der HU-Berlin die Serverbetreiber sind und sich per SSO für die Beantragung authentifiziert, oder ihre Zertifikatanfrage per S/MIME-basierender Signatur eingereicht haben. Das dafür verwendete Zertifikat muss ein durch die HU-PKI ausgestelltes Nutzerzertifikat sein
SSL/TLS-Zertifikate können sie auf verschiedene Weise beantragen.
automatisiertes Zertifikatenrollment mittels ACME (empfohlen)
Wenn Ihr Server ein automatisiertes Zertifikatenrollment via ACME (certbot, win-acme,...) unterstützt können Sie dafür einen ACME-Account erhalten und automatisiert Zertifikate erhalten.
Diese Zertifikate werden von unserem neuen GÈANT-TCS Zertifikatservice ausgegeben.
Für das Einrichten eines ACME-Accounts wenden Sie sich bitte per S/MIME-signierter E-Mail an pki@hu-berlin.de
Teilen Sie mit für welche Einrichtung und welche Domain/s (FQDNs) über ACME Zertifikate bezogen werden sollen.
Request an die Zertifizierungsinstanz senden
Ihren selbst generierten Request (CSR) können Sie über ein Webfrontend zur Zertifizierung an die Zertifizierungsinstanz übermittelt. Da diese eingereichten Request von Hand bestätigt werden, kann die Bearbeitung einige Zeit dauern.
Beachten Sie bitte das sich die Laufzeit von Serverzertifikaten weiter bis hinunter auf 90 Tage verkürzen wird. Von Seiten der Browserhersteller ist noch kein Zeitplan veröffentlicht, es gibt aber Vermutungen, dass Google Ende 2024/Anfang 2025 dafür eine Umsetzung anstrebt. Machen Sie sich mit dem ACME-Protokoll/ACME-Client Ihres Webservers vertraut und nutzen Sie diese alsbald.
Ihren Request an unsere neue GÈANT-TCS-CA. Anleitung
Informationen zu den verwenden CA-Zertifikaten.
Bisherige DFN-Verein Global Issuing CA.
Informationen zu den verwendeten CA-Zertifikaten