Zu Hauptinhalt springen
Gewählte Sprache ist Deutsch Select language
Startseite UR

Anleitung für die Beantragung eines Serverzertifikats

Zur Beantragung eines Serverzertifikats sind folgende Schritte nötig:

1. Lesen Sie die Richtlinien und Regelungen für Serverzertifikate

Lesen Sie vor der Beantragung eines Serverzertifikats unbedingt die zugehörigen Zertifizierungsrichtlinien für Server und der DFN-PKI.


2. Erzeugung eines Schlüsselpaares und des Zertifizierungsantrags

Die Erzeugung eines Schlüsselpaares und die Erstellung des Zertifizierungsantrags (Certificate Signing Request, CSR) kann mit den Tools der jeweiligen Serversoftware oder mit OpenSSL durchgeführt werden.

Dabei sind folgende Werte zu beachten:

  • Der private Schlüssel muss eine Länge von mind. 2048 Bit haben.
  • Der bei der Erstellung des Zertifizierungsantrags anzugebende eindeutige Name (Distinguished Name, DN) muss folgende Attribute enthalten:

Als Email-Adresse sollte eine gültige Funktionsadresse angegeben werden, d.h. keine personenbezogene Mailadresse, da sich die Zuständigkeit für den Server während der Zertifikatslaufzeit durchaus ändern kann. Auf jeden Fall muss die Email Adresse eine Mailadresse der Universität Regensburg sein.

Im folgenden wird OpenSSL als Beispiel für die Erzeugung eines Schlüsselpaares und Zertifizierungsantrags verwendet.
Im Beispiel soll ein Zertifikat für den Server example.uni-regensburg.de beantragt werden.

    	openssl req  -newkey rsa:2048 -nodes -keyout example.key -out example.csr -config openssl.cnf
Generating a 2048 bit RSA private key .......+++ .......................+++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [DE]: State or Province Name (full name) [Bayern]: Locality Name (eg. city) [Regensburg]: Organization Name (eg. company) [Universitaet Regensburg]: Organizational Unit Name (eg. Einrichtung) []: Rechenzentrum Common Name (eg. vollstaendiger IP Name) [example.uni-regensburg.de]: Email Address []: anja.ruckdaeschel@rz.uni-regensburg.de

Die Konfigurationsdatei openssl.cnf ist eine voreingestellte Konfigurationsdatei, die Sie für Serverzertifikatanträge verwenden können.


Tipps & Tricks für die Verwendung der Datei openssl.cnf

Wenn Sie die Datei öfter verwenden wollen, nehmen Sie folgende Anpassungen für sich vor:

  • Entfernen Sie das Kommentarzeichen (#) am Beginn der Zeile und setzen Sie Ihren Einrichtungsnamen gemäß der Liste unter PKI-Verantwortliche ein #organizationalUnitName_default = Ihre Einrichtung
  • Entfernen Sie das Kommentarzeichen (#) am Beginn der Zeile und setzen Sie ihre Email-Adresse ein #emailAddress_default = ihreAdresse@uni-regensburg.de

Sie werden dann nicht mehr nach Email-Adresse und Einrichtungsname gefragt.


Für Zertifikate an der UR empfehlen wir eine Ausstellung in den wichtigsten Domains der UR (uni-regensburg.de,uni-r.de,ur.de).
Dafür benötigen Sie sog. Subject Alternate Names - also alternative Servernamen. Wenn Sie diese in einem Zertifkat unterbringen wollen, dann modifizieren Sie die openssl.cnf wie folgt:

  • Entfernen Sie das Kommentarzeichen (#) am Beginn der Zeile subjectAltName = @alt_names
  • Entfernen Sie die Kommentarzeichen (#) vor dem ganzen folgenden Block:
        	#[ alt_names ]
        	#DNS.1 = example.uni-regensburg.de
        	#DNS.2 = example.uni-r.de
        	#DNS.3 = example.ur.de
        	
    und setzen Sie Ihren Servernamen ein.

Da Serverdienste i.a. ohne manuelles Eingreifen des Administrators automatisch starten sollen, wurde im Beispiel durch die Option -nodes verhindert, dass OpenSSL den privaten Schlüssel mit einem Passwort sichert. Wenn Sie dies nicht wollen, lassen Sie diese Option bitte einfach weg. Falls der private Schlüssel nicht mit einem Passwort gesichert ist, muss die Datei example.key unbedingt vor einem unbefugten Zugriff gesichert werden. Die Datei example.csr enthält den für den nächsten Schritt benötigten Zertifizierungsantrag. Sie können die Werte des Antrags mit folgendem Kommando nocheinmal überpürfen:

openssl req -noout -text -in example.csr


3. Absenden des Zertifizierungsantrags an die Registrierungsstelle

Die Übermittlung des Zertifizierungsantrags an die Registrierungsstelle erfolgt über die Webschnittstelle der DFN-Verein Global Issuing CA. Um Warnungen über nicht bekannte Zertifikate zu vermeiden, muss das Wurzelzertifikat für die DFN PKI im Sicherheitsniveau Global auf Ihrem Rechner bzw. in Ihrem Browser installiert sein. Für den Internet Explorer unter Windows ist dies bereits der Fall. Bei Verwendung anderer Betriebssysteme oder anderer Browser müssen Sie das Wurzelzertifikat u.U. noch per Hand importieren. Sie finden die Zertifikate hier zum Download. Überprüfen Sie bitte beim Import die Korrektheit der Fingerprints des Wurzelzertifikats.

Bitte wählen Sie Serverzertifikat aus und füllen Sie das folgende Formular aus:

  • Im Feld PKCS#10-Zertifikatantrag müssen Sie den Pfad für die in Schritt 2 erzeugte csr Datei (Zertifizierungsantrag) eintragen.
  • Mit der Option "Zertifikatsprofil" legen Sie den Typ des Servers fest. Dies ist i.a. der Typ Web Server.
  • Bitte tragen Sie in die weiteren Felder Ihre Kontaktdaten ein. Der Name muss mit den Angaben in Ihrem Ausweis übereinstimmen. Bei Umlauten im Namen wählen Sie bitte die umlautfreie Schreibeweise (ä → ae, ß → ss, usw.)
    Die Email-Adresse muss eine Adresse der Universität Regensburg sein. An diese Adresse wird das erstellte Zertifikat geschickt. Als Email Adresse sollte - wenn möglich - eine gültige Funktionsadresse angegeben werden, d.h. keine personenbezogene Mailadresse.
  • Das Feld Abteilung muss wieder wie im Schritt 2 den Namen der Einrichtung der Universität enthalten.
  • Die PIN benötigen Sie für eine eventuelle spätere Sperrung des Zertifikats. Bitte merken Sie sich diese PIN unbedingt!
  • Wenn Sie der Veröffentlichung Ihres Zertifikats im Verzeichnisdienst der DFN-PKI zustimmen (empfohlen), setzen Sie bitte das Häkchen in der entsprechenden Checkbox. Wenn Sie das nicht wünschen, lassen Sie die Checkbox unmarkiert.

Klicken Sie nun auf Weiter, dann wird der Antrag nochmals angezeigt:

Sie können jetzt die eingegebenen Daten gegebenenfalls ändern (Schaltfläche Ändern). Sind alle Angaben korrekt, werden sie über die Schaltfläche Bestätigen endgültig an die Registrierungsstelle abgeschickt. Sie erhalten dann die Aufforderung, den Antrag auszudrucken: über die Schaltfläche Zertifikatantrag anzeigen.

Sie erhalten jetzt den Antrag in Form einer PDF Datei angezeigt. 
Drucken Sie bitte diese Datei aus und ergänzen Sie die fehlenden Angaben.


4. Persönliche Identitätsüberprüfung in der Registrierungsstelle

Bitte bringen Sie nach einer vorherigen Terminabsprache die folgenden Unterlagen persönlich in der  Registrierungsstelle für Serverzertifikate (siehe rechte Spalte dieser Webpage) vorbei. (Hinweis für UKR-Mitarbeiter: Für Mitarbeiter des UKR besteht die Möglichkeit, diesen Schritt am Standort UKR zu erledigen, siehe hier .)

Bitte verwahren Sie Kopien Ihrer unterschriebenen Anträge sowie die beim Antrag eingegebene PIN für eine eventuelle Sperrung sorgfältig.

Sind alle Voraussetzungen korrekt erfüllt, dann leitet die Registrierungsstelle den Antrag zur Erstellung des Zertifikats an die an den DFN ausgelagerte CA weiter. Von dieser wird das ausgestellte Zertifikat dann per Email an die im Antrag angegebene Mailadresse geschickt.
Bitte bewahren Sie die in dieser Email genannte Seriennummer des Zertifikats auf, da diese gebraucht wird, falls Sie das Zertifikat zu einem späteren Zeitpunkt sperren wollen.


5. Installation des Zertifikats in Ihrem Server

Nachdem Sie das Zertifikat per Email erhalten haben, können Sie es in Ihrem Server installieren. Im folgenden ist das als Beispiel für einen Apache Webserver auf einem SuSe Linux Enterprise Server gezeigt:

  1. Speichern Sie den in Schritt 2 erzeugten privaten Schlüssel im Verzeichnis /etc/apache2/ssl.key, z.B. /etc/apache2/ssl.key/example.key ab. Achten Sie darauf, die Zugriffsrecht auf dieses Verzeichnis so zu setzen, dass nur der Apache-Webserver Zugriff auf den privaten Schlüssel hat, sofern dieser nicht durch ein Passwort geschützt ist.
  2. Speichern Sie das von unserer CA unterschriebene Zertifikat im Verzeichnis /etc/apache2/ssl.crt, z.B. /etc/apache2/ssl.crt/example.pem.
  3. Damit ein Webbrowser die von der DFN-PKI ausgestellten Zertifikate wirklich bis zu einer Stammzertifizierungsstelle zurückverfolgen kann, die im Browser bereits als vertrauenswürdig vorinstalliert ist, muss der Apache Webserver die komplette Zertifikatskette kennen und sie beim SSL Verbindungsaufbau an den Client übermitteln. Sie finden diese Zertifikatsketten hier zum Download. Speichern Sie sie im Verzeichnis /etc/apache2/ssl.crt , z.B. als kette_uni2.txt ab.
  4. Tragen Sie in der Konfigurationsdatei für virtuelle Hosts mit SSL Unterstützung im Verzeichnis /etc/apache2/vhosts.d folgende Informationen ein:

    SSLCertificateKeyFile /etc/apache2/ssl.key/example.key
    SSLCertificateFile /etc/apache2/ssl.crt/example.pem
    SSLCertificateChainFile /etc/apache2/ssl.crt/kette_uni2.txt
  5. Starten Sie Ihren Apache Server einmal neu.

Achten Sie darauf, den privaten Schlüssel des Zertifikats geheim zu halten und vor Missbrauch zu schützen.


6. Sperrung des Zertifikats

Bei Verlust oder Verdacht der Kompromittierung des privaten Schlüssels bzw. bei Stilllegung des Servers muss das Zertifikat sofort widerrufen werden. Dies können Sie ebenfalls über die Webschnittstelle der DFN-Verein Global Issuing CA durchführen.
Bitte beachten Sie, dass Sie hierzu die Seriennummer des Zertifikats benötigen - die Sie z.B. in der Email finden, die Ihnen bei der Zertifikatsgenehmigung zugestellt wurde!!!

  1. Universität

Rechenzentrum

DFN-PKI
Registrierungsstelle
Aus dem RZ Banner von Franz Stadler

Telefon +49 941 943 4877
Fax +49 941 943 4857
Raum RZ EG 0.04
E-Mail: gerhard.schwarz@rz.uni-regensburg.de