Zur Webansicht Zur Webansicht
0/1 Rechenzentrum der Universität Regensburg
Home Uni  Pfeil  Rechenzentrum  Pfeil  
Deko-Banner
Zur Lese-/Druckansicht  


Frequently Used Links:
Hauptnavigation:

Anleitung für die Beantragung eines Serverzertifikats

Zur Beantragung eines Serverzertifikats sind folgende Schritte nötig:

1. Lesen der Zertifizierungsrichtlinien

Für die Ausstellung von Zertifikaten durch die Uni Regensburg CA sind die folgenden Zertifizierungsrichtlinien maßgeblich:

Weiterhin sind die Regelungen zur Beantragung und Nutzung von Serverzertifikaten in der Uni Regensburg CA zu beachten.

2. Erzeugung eines Schlüsselpaares und des Zertifizierungsantrags

Die Erzeugung eines Schlüsselpaares und die Erstellung des Zertifizierungsantrags (Certificate Signing Request, CSR) kann mit den Tools der jeweiligen Serversoftware oder mit OpenSSL durchgeführt werden.

Dabei sind folgende Werte zu beachten:

  • Der private Schlüssel muß eine Länge von mind. 2048 Bit haben.
  • Der bei der Erstellung des Zertifizierungsantrags anzugebende eindeutige Name (Distinguished Name, DN) muss folgende Attribute enthalten:



Als Email-Adresse sollte eine gültige Funktionsadresse angegeben werden, d.h. keine personenbezogene Mailadresse, da sich die Zuständigkeit für den Server während der Zertifikatslaufzeit durchaus ändern kann. Auf jeden Fall muß die Email Adresse eine Mailadresse der Universität Regensburg sein.


Im folgenden wird OpenSSL als Beispiel für die Erzeugung eines Schlüsselpaares und Zertifizierungsantrags verwendet. Im Beispiel soll ein Zertifikat für den Server www-wohnheim.uni-regensburg.de beantragt werden.

>openssl req  -newkey rsa:2048 -nodes -keyout www-wohnheim.key -out www-wohnheim.csr -config openssl.cnf
Generating a 2048 bit RSA private key
..................+++
.............................................................................................................................+++
writing new private key to 'www-wohnheim.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Bayern]:
Locality Name (eg, city) [Regensburg]:
Organization Name (eg. company) [Universitaet Regensburg]:
Organizational Unit Name (eg. Einrichtung) []:Rechenzentrum
Common Name (eg. vollstaendiger IP Name) []:www-wohnheim.uni-regensburg.de
Email Address []:ulrich.werling@rz.uni-regensburg.de
rrznm5:/cert #

Die Konfigurationsdatei openssl.cnf ist eine voreingestellte Konfigurationsdatei, die Sie für Serverzertifizierungen verwenden können. Da Serverdienste i.a. ohne manuelles Eingreifen des Administrators automatisch starten sollen, wurde im Beispiel durch die Option -nodes verhindert, dass OpenSSL den privaten Schlüssel mit einem Passwort sichert. Wenn Sie dies nicht wollen, lassen Sie diese Option bitte einfach weg. Falls der private Schlüssel nicht mit einem Passwort gesichert ist, muß die Datei www_wohnheim.key unbedingt vor einem unbefugten Zugriff gesichert werden. Die Datei www-wohnheim.csr enthält den für den nächsten Schritt benötigten Zertifizierungsantrag. Sie können die Werte des Antrags mit folgendem Kommando nocheinmal überpürfen:

openssl req -noout -text -in www_wohnheim.csr

3. Absenden des Zertifizierungsantrags an die Registrierungsstelle

Die Übermittlung des Zertifizierungsantrags an die Registrierungsstelle erfolgt über die Webschnittstelle der Uni Regensburg CA bzw. die Webschnittstelle der DFN-Verein Global Issuing CA (empfohlen ab 2017). Um Warnungen über nicht bekannte Zertifikate zu vermeiden, muß das Wurzelzertifikat für die DFN PKI im Sicherheitsniveau Global (Deutsche Telekom Root CA 2) auf Ihrem Rechner bzw. in Ihrem Browser installiert sein. Für den Internet Explorer unter Windows ist dies bereits der Fall. Bei Verwendung anderer Betriebssysteme oder anderer Browser müssen Sie das Wurzelzertifikat u.U. noch per Hand importieren. Sie finden die Zertifikate im Dokument Zertifikate der Uni Regensburg CA. Überprüfen Sie bitte beim Import die Korrektheit der Fingerprints des Wurzelzertifikats.

Bitte wählen Sie Serverzertifikat aus und füllen Sie das folgende Formular aus:

  • Im Feld PKCS#10-Zertifikatantrag müssen Sie den Pfad für die in Schritt 2 erzeugte csr Datei (Zertifizierungsantrag) eintragen.
  • Mit der Option "Zertifikatsprofil" legen Sie den Typ des Servers fest. Dies ist i.a. der Typ Web Server.
  • Bitte tragen Sie in die weiteren Felder Ihre Kontaktdaten ein. Der Name muss mit den Angaben in Ihrem Ausweis übereinstimmen. Die Email-Adresse muss eine Adresse der Universität Regensburg sein. An diese Adresse wird das erstellte Zertifikat geschickt. Als Email Adresse sollte - wenn möglich - eine gültige Funktionsadresse angegeben werden, d.h. keine personenbezogene Mailadresse.
  • Das Feld Abteilung muß wieder wie im Schritt 2 den Namen der Einrichtung der Universität enthalten.
  • Die PIN benötigen Sie für einer eventuellen Sperrung des Zertifikats. Bitte merken Sie sich diese PIN unbedingt!
  • Wenn Sie der Veröffentlichung Ihres Zertifikats im Verzeichnisdienst der DFN-PKI zustimmen, setzen Sie bitte das Häkchen in der entsprechenden Checkbox. Wenn Sie das nicht wünschen, lassen die Checkbox unmarkiert.

Klicken Sie nun auf Weiter, dann wird der Antrag nochmals angezeigt:

Sie können jetzt die eingegebenen Daten gegebenenfalls ändern (Schaltfläche Ändern). Sind alle Angaben korrekt, werden sie über die Schaltfläche Bestätigen endgültig an die Registrierungsstelle abgeschickt. Sie erhalten dann die Aufforderung, den Antrag auszudrucken: über die Schaltfläche Zertifikatantrag anzeigen.

Sie erhalten jetzt den Antrag in Form einer PDF Datei angezeigt. 
Drucken Sie bitte diese Datei aus und ergänzen Sie die fehlenden Angaben.

4. Persönliche Identitätsüberprüfung in der Registrierungsstelle

Bitte bringen Sie nach einer vorherigen Terminabsprache die folgenden Unterlagen persönlich in der Registrierungsstelle für Serverzertifikate (RZ Benutzerverwaltung) vorbei:

  • die ausgefüllte, unterschriebene und vom PKI Verantwortlichen Ihrer Einrichtung bestätigte Erklärung zum Zertifikatantrag (118 KB)
  • den in Schritt 3 ausgedruckten und unterschriebenen Zertifikatantrag
  • den im Zertifikatantrag angegebenen gültigen amtlichen Lichtbildausweis

Bitte verwahren Sie Kopien Ihrer unterschriebenen Anträge sowie die beim Antrag eingegebene PIN für eine eventuell Sperrung sorgfältig.

Sind alle Voraussetzungen korrekt erfüllt, dann leitet die Registrierungsstelle den Antrag zur Erstellung des Zertifikats an die an den DFN ausgelagerte Uni Regensburg CA weiter. Von dieser wird das ausgestellte Zertifikat dann per Email an die im Antrag angegebene Mailadresse geschickt.

5. Installation des Zertifikats in Ihrem Server

Nachdem Sie das Zertifikat per Email erhalten haben, können Sie es in Ihrem Server installieren. Im folgenden ist das als Beispiel für einen Apache Webserver auf einem SLES10 Linuxsystem gezeigt:

  1. Speichern Sie den in Schritt 2 erzeugten privaten Schlüssel im Verzeichnis /etc/apache2/ssl.key ab. Achten Sie darauf, die Zugriffsrecht auf dieses Verzeichnis so zu setzen, dass nur der Apache-Webserver Zugriff auf den privaten Schlüssel hat, sofern dieser nicht durch ein Passwort geschützt ist.
  2. Speichern Sie das von der Uni Regensburg CA unterschriebene Zertifikat im Verzeichnis /etc/apache2/ssl.crt.
  3. Damit ein Webbrowser die von der DFN-PKI ausgestellten Zertifikate wirklich bis zu einer Stammzertifizierungsstelle zurückverfolgen kann, die im Browser bereits als vertrauenswürdig vorinstalliert ist, muß der Apache Webserver die komplette Zertifikatskette kennen und sie beim SSL Verbindungsaufbau an den Client übermitteln. Sie finden diese Zertifikatskette im Dokument Zertifikate der Uni Regensburg CA. Speichern Sie sie im Verzeichnis /etc/apache2/ssl.crt ab.
  4. Tragen Sie in der Konfigurationsdatei für virtuelle Hosts mit SSL Unterstützung im Verzeichnis /etc/apache2/vhosts.d folgende Informationen ein:

    SSLCertificateKeyFile /etc/apache2/ssl.key/www-wohnheim.key
    SSLCertificateFile /etc/apache2/ssl.crt/www-wohnheim.pem
    SSLCertificateChainFile /etc/apache2/ssl.crt/uni-r-ca-chain.txt
  5. Starten Sie Ihren Apache Server einmal neu.

Achten Sie darauf, den privaten Schlüssel des Zertifikats geheim zu halten und vor Missbrauch zu schützen.

6. Sperrung des Zertifikats

Bei Verlust oder Verdacht der Kompromittierung des privaten Schlüssels bzw. bei Stilllegung des Servers muß das Zertifikat sofort widerrufen werden. Dies können Sie ebenfalls über die Webschnittstelle der Uni Regensburg CA durchführen:

Letzte Änderung: 24.11.2017 von Dr. Ulrich Werling