icon-symbol-logout-darkest-grey

ServiceServer-Zertifikate

Zertifikate für verschlüsselte Verbindungen zu dezentralen Servern.

In Einzelfällen, in welchen die Nutzung der zentral zur Verfügung gestellten Serversysteme der Universität nicht zweckmäßig ist und qualifiziertes Personal für den sicheren Betrieb eines dezentral aufgestellten Servers sorgen kann, ist es möglich, ein Serverzertifikat aus dem Sicherheitsniveau „Global“ des DFN zu beantragen. Dieses Zertifikat ermöglicht den Aufbau verschlüsselter Verbindungen (https) zum dezentral aufgestellten Server und wird von allen wichtigen Browsern und E-Mail-Clients anerkannt.

Die Zertifikate werden vom DFN-Verein bereitgestellt, das URZ ist für den Ausstellungsprozess lokaler Ansprechpartner und Registrierungsstelle.

Zielgruppe

  • IT-Beauftragte
  • Beschäftigte

Nutzen

  • Ermöglicht den Erhalt von Zertifikaten für sichere, verschlüsselte Verbindungen zu einem dezentral aufgestellten Server

Zugang und Voraussetzungen

1. Erzeugen Sie mit den Mitteln Ihres Serverbetriebssystems ein Certificate Request und dabei ein asymmetrisches Schlüsselpaar. Folgende Angaben werden hier üblicherweise benötigt:

  • Land C=DE
  • Organisation O=Ruprecht-Karls-Universitaet Heidelberg
  • Organisationseinheit OU=(Institut)
  • Stadt/Ort L=Heidelberg
  • Provinz ST=Baden-Wuerttemberg
  • „Common Name“ CN= (voll qualifizierter Servername wie im Nameserver)
  • Email-Adresse des Serververantwortlichen (entfällt ab 1.12.14)
  • Schlüssellänge >= 2048 bit

In der Linux-Welt werden dazu Kommandos folgender Art benutzt:

openssl genrsa -out ssl.key/server.key -rand randfile 2048

chmod og-rwx ssl.key/server.key

openssl req -new -key ssl.key/server.key -out ssl.csr/server.csr

2. Speichern Sie den Certificate Request als lokale Datei ab.

3. Rufen Sie eine spezielle Webseite beim DFN-Verein (Deutsches Forschungsnetz) auf (siehe Link) und wählen dann den Punkt „Serverzertifikat“ aus. Auf dieser Seite füllen Sie ein Antragsformular aus, welches insbesondere weitere Namensangaben und Einverständniserklärungen enthält sowie das Hochladen der abgespeicherten Request-Datei verlangt. Drucken Sie den Antrag anschließend aus.

4. Lassen Sie sich außerdem als Server-Verantwortliche:r von einer administrativen Kontaktperson (festangestellte:r IT-Beauftragte:r oder Geschäftsführende:r Direktor:in) durch Ausfüllen des verlinkten PDF-Formulars akkreditieren.

5. Besuchen Sie nun mit ausgedrucktem Antrag und Akkreditierungsformular die Registrierungsstelle (RA) im IT-Service des URZ. Nachdem von den Mitarbeiter:innen dort alle Angaben erfolgreich überprüft wurden (insbesondere ob der sogenannte Fingerprint übereinstimmt), wird der Antrag von der Registrierungsstelle freigegeben. Kurze Zeit später wird Ihnen das ausgestellte Formular von der Zertifizierungsstelle (CA) des DFN-Vereins per E-Mail zugesandt.

6. Abschließend muss das Zertifikat in die eigene Server-Umgebung eingebracht werden, was abhängig vom verwendeten System ist. Falls der Server nicht die gesamte Zertifikatskette mitschickt, muss der Betreiber diese zur Verfügung stellen (siehe Link).