Zertifikate für Server (Web, Mail, LDAP, VPN)
Die Zertifizierungsinstanz der Humboldt- Universität zu Berlin stellt SSL-Zertifikate für Server der Einrichtungen und Institute der Universität aus. Für Ihren SSL-Server müssen Sie ein Schlüsselpaar generieren; der entsprechende Public Key (Request/CSR) des Servers wird anschließend über ein Webfrontend zur Zertifizierung an die Zertifizierungsinstanz übermittelt.
Schlüssel und Request erzeugen (mit OpenSSL)
Informationen zu OpenSSL finden Sie auch im vom DFN herausgegebenen Handbuch.
Es werden nur CSR's (Request) signiert die aus mindestens 2048 bit langen RSA-Schlüsseln erzeugt wurden. Schlüssel aus elliptischen Kurven werden nicht signiert.
Beispiel-Anleitung für einen Request mit passwortgeschütztem Schlüssel. Sie werden dann bei jedem Start des Servers nach dem Passwort gefragt.
>openssl req -newkey rsa:2048 -out server.csr -keyout server.key
Bei dieser Eingabe wird der Request in der Datei server.csr und der RSA-Schlüssel in der Datei server.key abgespeichert. Die Dateinamen sind beliebig wählbar.
Für den Request sind verschiedene Daten erforderlich, zu deren Eingabe Sie dann aufgefordert werden. Beachten Sie dabei bitte, daß bei einem einfachen Return die Vorgabe in eckigen Klammern übernommen wird. Eine Leereingabe erreichen Sie durch Eingabe eines einzelnen Punktes.
Loading 'screen' into random state - done
Generating a 2048 bit RSA private key
....++++++
................................++++++
writing new private key to 'server.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Berlin
Locality Name (eg, city) []:Berlin
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Humboldt-Universitaet zu Berlin
Organizational Unit Name (eg, section) []:Name der Einrichtung
Common Name (eg, YOUR name) []:Name des Webservers (FQDN)
Email Address []:keine E-Mailadresse erforderlich
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Die Angaben DE bei Country Name und Humboldt-Universitaet zu Berlin bei Organisational Unit Name müssen so enthalten sein. Die anderen hervorgehobenen Einträge nehmen Sie entsprechend Ihrer Bedingungen vor, also Institut/Einrichtung und den FQDN des Servers, sind aber unbedingt anzugeben. Als E-Mailadresse verwenden Sie die des Server-Administrators, diese bekommt auch die Statusinformationen zum Zertifikat.
Zusätzliche Angaben im Subject Alternative Name können Sie in ihrer openssl.conf, oder auf der Rückseite des schriftlichen Antrages (siehe unten) vornehmen, welcher am Ende der Zertfikatbeantragung generiert wird.
Die 'extra' attributes können Sie leer lassen.
Request an die Zertifizierungsinstanz senden
Nach der Generierung Ihres Request können Sie diesen über das Onlineinterface zur Zertifizierung an die Zertifizierungsinstanz übermitteln.
Hier gelangen sie zu unserer neuen DFN-Verein Global Issuing CA.
Laufzeit bis 22.02.2031, Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“. Mehr Informationen hier.
Ergänzen Sie die geforderten Angaben und wählen Ihren Request (CSR) aus.
Abbildung: Webfrontend
Geben Sie die geforderten Informationen in die Felder des Formulars ein und wählen das entsprechende Zertifikatsprofil aus. Klicken Sie auf "Weiter".
Auf der nächsten Seite sehen Sie eine Zusammenfassung Ihrer Angaben, wenn Sie Änderungen daran vornehmen wollen, benutzen Sie bitte den Zurückbutton Ihres Browsers.
Abbildung: Zusammenfassung
Klicken Sie auf "Bestätigen". Im nächsten Fenster klicken Sie auf "Zertifikatantrag anzeigen". Drucken Sie diesen aus.
Abbildung: Zertifikatantrag anzeigen
schriftlicher Antrag und Identifizierung
Um den Request zu bearbeiten, schicken Sie bitte den ergänzten und unterschriebenen Antrag per E-Mail an "pki@hu-berlin.de".
Wir melden uns dann bei Ihnen um eine Identifizierung zu vereinbaren.
Ausstellung des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angebene E-Mailadresse. Darin enthalten ist ein Link zum Download des Zertifikates, sowie das Zertifikat selbst.
Installation des Zertifikates
Installalieren Sie das Zertifikat in Ihren Server entsprechend der zugehörigen Dokumentation.