Zertifikate der LUH-CA

Die Leibniz Universität Hannover stellt im Rahmen einer DFN-weiten Public Key Infrastruktur (PKI) allen Mitgliedern und Angehörigen der LUH Zertifikate zur Verfügung.

Wer kann den Service nutzen?

Studierende	ja
Beschäftigte	ja
Einrichtungen	ja
Administrierende	ja

DIREKTLINKS ZUR BEANTRAGUNG VON ZERTIFIKATEN

Serverzertifikat in der DFN-PKI beantragen

Nutzerzertifikat direkt beantragen

DFN-PKI LUH-CA Zertifizierungsstelle

SERVICEBESCHREIBUNG

Im Rahmen von DFN-PKI-G2, einer DFN-weiten Public Key Infrastruktur (PKI) der mittlerweile zweiten Generation, können über das LUIS von allen Angehörigen und Mitgliedern der Leibniz Universität Hannover Zertifikate im X.509-Format für folgende Anwendungszwecke beantragt und bezogen werden.

Server-Zertifikate (Server-Authentifizierung)
Nutzerzertifikate (Signieren und Verschlüsseln von E-Mails, Signieren von Dokumenten)

Die Zertifizierungstelle (Certification Authority, CA) wird durch den DFN betrieben, die Bearbeitung der Zertifikatanträge erfolgt durch die im LUIS angesiedelte Registration Authority (RA).

Für alle Fragen im Zusammenhang mit Zertifizierung steht die RA der LUH-CA für Sie als Ansprechpartner zur Verfügung.

Für die Beantragung von Zertifikaten ist eine persönliche Identifizierung notwendig.

Persönliche Identifizierung zum Erhalt eines Nutzerzertifikats
Für ein Nutzerzertifikat ist eine persönliche Identifizierung nötig, die nicht älter als 39 Monate ist und erst nach dem Ablauf dieser Frist bei Neubeantragung eines Zertifikates wiederholt werden muss.

Die persönliche Identifizierung findet in der RA der LUH-CA im LUIS statt. Vereinbaren Sie dazu bitte vorher einen Termin. Bringen Sie zur persönlichen Identifizierung neben dem unterschriebenen Zertifikatantrag einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) mit. Liegt uns eine noch gültige Identifizierung vor, können Sie den Antrag auch einsenden oder am Empfang des Rechenzentrums abgeben.

Benötigen Sie Auskunft über die Gültigkeit Ihrer letzten Identifizierung, können Sie sich per E-Mail oder telefonisch an die RA im LUIS wenden.

In Ausnahmefällen kann die Identifizierung auch über Postident stattfinden.
Informationen zu Postident

Kontakt zur RA der LUH-CA
Persönliche Identifizierung zum Erhalt eines Serverzertifikates
Um für eine Einrichtung der Leibniz Universität Hannover Serverzertifikate beantragen zu können, benötigen Sie eine Akkreditierung der Leitung Ihrer Einrichtung, die besagt, dass Sie berechtigt sind, entweder für die gesamte Subdomain oder für einzelne Server der Einrichtung Zertifikate zu beantragen. Dafür muss ein Akkreditierungs-Formular ausgefüllt und von der Leitung Ihrer Einrichtung unterschrieben werden. Vereinbaren Sie einen Termin zur persönlichen Identifizierung bei der Registrierungsstelle (RA) der LUH-CA und bringen Sie zur diesem Termin einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) mit. Vergessen Sie bitte nicht das unterzeichnete Akkreditierungsschreiben und Ihre Zertifikatanträge.

Die persönliche Identifizierung ist nur einmal notwendig, weitere Server-Zertifikatanträge können Sie auch einsenden, am Empfang des Rechenzentrums abgeben oder im Anhang einer mit Ihrem persönlichen Nutzerzertifikat digital signierten E-Mail einzusenden.
Einsenden digital signierter Server-Zertifikatanträge

Akkreditierungsschreiben (PDF)

Kontakt zur RA der LUH-CA

DIGITAL-SIGNIERTE ZERTIFIKATSANTRÄGE UND POSTIDENT

Digital signierte Server-Zertifikatanträge

Informationen zu Postident und Download Postident-Coupon

ANLEITUNGEN ZUR ZERTIFIKATSREQUEST-ERZEUGUNG MIT OPENSSL

PDF-Anleitung

Anleitung Zertifikatsrequest-Erzeugung mit OpenSSL (DFN)
Kurz-Anleitung

Kurz-Anleitung Zertifikatsrequest-Erzeugung mit OpenSSL (LUIS)
CNF-Datei

OpenSSL-Konfigurationsdatei für Zertifikatsrequest (luh-ca.cnf) mit LUH-Vorbelegung

INFORMATIONEN ZU ZERTIFIKATEN

Was sind Zertifikate
Zertifikate werden eingesetzt um Sicherheit von Daten zu gewährleisten (Verschlüsselung) oder die Identität des Kommunikationspartners (Server-Authentifizierung, Mail-Signatur) eindeutig bestätigen zu können.
Ein digitales Zertifikat ist ein Datensatz, dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Es entspricht einem digitalen Ausweisdokument, welches ein Schlüsselpaar bestehend aus einen öffentlichen und einem privaten Schlüssel eindeutig einer Person oder einem Server zuordnet. Eine Zertifizierungsstelle beglaubigt diese Zuordnung.
Eine Person oder ein Server identifiziert sich durch den Besitz des privaten Schlüssels, der zu dem im Zertifikat beglaubigten öffentlichen Schlüssel passt.Der private Schlüssel eines Zertifikates verbleibt beim Besitzer des Zertifikates, er muss gut geschützt werden und darf nicht öffentlich werden. Geht der private Schlüssel verloren oder wird kompromittiert, muss das Zertifikat gesperrt werden.
Der öffentliche Schlüssel eines Zertifikates muss den Kommunikationspartnern bekannt gemacht werden, damit diese anhand des Schlüssels überprüfen können, ob das Gegenüber tatsächlich im Besitz des geheimen Schlüssels ist. Der öffentliche Schlüssel von A wird vom Kommunikationspartner B genutzt, um die Authentizität der Signatur von A zu prüfen oder um Daten für B zu verschlüsseln.
Ein Zertifikat enthält neben der Zuordnung des Schlüsselpaares zum Besitzer noch weitere Informationen wie z.B. Gültigkeitsdaten, die ausstellende Zertifizierungsstelle, Einsatz-Zweck des Zertifikates (Mailverschlüsselung, Signatur, Authentifizierung, ...)
Serverzertifikate dienen der Identifizierung des Servers, durch den Einsatz eines Server-Zertifikates lässt sich für die Klienten sicherstellen, wirklich mit dem Server verbunden zu sein, dessen Adresse angewählt wurde. Nur nur der "echte" Server kann das korrekte Zertifikat präsentieren.
Nutzerzertifikate sind personenbezogene Zertifikate. Diese Zertifikate können in Mailprogrammen zum Signieren und Verschlüsseln von E-Mail eingesetzt werden. Durch die digitale Signatur einer E-Mail können die Empfänger sicher sein, dass die absendende Person auch tatsächlich diejenige ist, als die sie sich ausgibt.
Was sind Wurzelzertifikate
Jedes Zertifikat enthält die Signatur der Zertifizierungsstelle, die dieses Zertifikat ausgestellt hat.
Dadurch kann die Kette aller beteiligten Zertifikaten verfolgt werden, bis hin zu einem Wurzelzertifikat, dem vertraut wird.
Wurzelzertifikate werden von sicheren Trust-Centern ausgestellt, die sich durch sehr hohe Sicherheitsstandards auszeichnen und die regelmäßigen Qualitätskontrollen unterzogen werden.
Die meisten Browser, Mailprogramme und viele andere Anwendungsprogramme bringen schon bei Installation eine Vielzahl integrierter vertrauenswürdiger Wurzelzertifikate mit.
Auch die Zertifikate der DFN-PKi im Sicherheitsniveau global sind über das bereits vorintegrierte Wurzelzertifikat der T-Systems Business-Services in dieser vertrauenswürdigen Zertifikatskette mit einbezogen.
Zertifikate im Internet
Bei der Nutzung von Internet-Services , können Sie sich im Ihrem Browser oder Mailprogramm das Zertifikat Ihres Kommunikationspartners anzeigen lassen.

Zertifikatswarnungen Ihres Browsers oder Mailprogrammes sollten Sie ernst nehmen und die Webseite, vor der gewarnt wird, gegebenenfalls lieber nicht besuchen.

Zumindest sollten Sie die Warnung und die darin enthaltenen Hinweise lesen und Ihnen nachgehen, bevor sie fortfahren.

Typische Warnmeldungen könnten sein:
Das Zertifikat ist abgelaufen
Das Zertifikat wurde widerrufen
Das Zertifikat wurde für einen ganz anderen Server ausgestellt, z.B. der Server mail.ABC.de präsentiert ein Zertifikat, welches auf www.124.de ausgestellt ist.
Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche selbst-signierten Zertifikate sollten nur für Testzwecke, aber nicht für öffentliche Server eingesetzt werden.
Der Browser oder das Mailprogramm kennen die Zertifizierungsinstanz (Certification Authority, CA) nicht, die das Zertifikat ausgestellt hat. Das kann daran liegen, dass das Wurzelzertifikat oder eines der Zwischenzertifikate fehlen. Die Zertifikatskette muss vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann keine vollständige Verifizierung stattfinden.

Bei Fragen und Unsicherheiten zu diesem Thema wenden Sie sich gerne an die die RA im LUIS.

LINKS UND INFORMATIONEN ZUR BEANTRAGUNG VON ZERTIFIKATEN

Beantragung

Direktlinks zur Beantragung der Zertifikate "Schnittstelle für Nutzer und Administratoren - Zertifikate" Hier können Sie Zertifikate beantragen, sperren lassen und nach Zertifikaten suchen.
Postident LUH-CA

Durch das Postident-Verfahren wird eine persönliche Identifizierung ermöglicht. Dadurch können Sie auch aktuell ein Nutzerzertifikat erhalten, ohne die Notwendigkeit einer persönlichen Terminvereinbarung und einer gegebenenfalls langen Anfahrt zum LUIS.
Digital signierte Server-Zertifikatanträge

Server-Zertifikatanträge können bei Vorhandensein eines gültigen persönlichen Nutzerzertifikates auch PDF im Anhang einer digital signierten Mail an die RA der LUH-CA übermittelt werden.
Kontakt zur RA der LUH-CA

In allen Belangen bezüglich Zertifikaten können Sie Kontakt zu RA der LUH-CA aufnehmen
Informationen

Informationen zu DFN-PKI (LUH-CA)

WEITERE SERVICES UND INFORMATIONEN IN DER DFN-PKI (PUBLIC KEY INFRASTRUCTURE)

Sperrlisten/Rückruf

Müssen Sie Ihr Zertifikat zurückrufen weil es z.B. kompromittiert wurde oder aufgrund des Verlustes des privaten Schlüssels ein neues beantragen, kann dies über das öffentliche PKI-Portal der UH-CA erfolgen. Sie benötigen für den Rückruf die Rückruf-PIN.
E-Mail Signatur

Die Nachricht wurde mit einem Zertifikat, ausgestellt von der Zertifizierungsinstanz der Leibniz Universität Hannover (UH-CA), digital signiert. Die digitale Signatur dient der Sicherstellung der Echtheit der Informationen der versendeten Nachrichten. Dies ermöglicht Ihnen als Empfänger zum einen die einwandfreie Identifikation des Absenders der E-Mail und schützt zum anderen vor nachträglicher Manipulation der Informationen auf dem Transportweg durch Dritte.
Hierarchie & CA-Zertifikate

Das Rechenzentrum hat für verschiedene Anwendungszwecke mehrere CAs, die durch das DFN betrieben werden. Die CAs sind meist in Hierarchien verankert. Vorteil einer solchen Hierarchie ist, dass man grundsätzlich nur dem Wurzelzertifikat (hier: Telekom) vertrauen muss (wie es im Fall des Telekom-Root-Zertifikats bei den üblichen Betriebssystemen und Anwendungen automatisch gegeben ist). Die von untergeordneten CAs ausgestellten Zertifikate werden dann automatisch akzeptiert.
Policies der CAs

Innerhalb einer PKI muss den CAs (und zugehörigen RAs) vertraut werden, wie sonst auch Ausweisbehörden oder Beglaubigungsstellen. Daher ist es das Mindeste, dass diese Grundregeln und Vorgehensweisen dokumentieren und offenlegen. Dieses erfolgt normalerweise in zwei Schriftstücken: Eine Zertifizierungsrichtlinie (Certification Policy, CP) definiert die Regeln, nach denen eine oder mehrere Zertifizierungsstellen arbeiten. Eine Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) beschreibt die Verfahrensweisen, mit denen eine Zertifizierungsrichtlinie von einer Zertifizierungsstelle umgesetzt wird.
Zertifikate suchen

Zur Überprüfung oder um verschlüsselt zu kommunizieren benötigen Sie das Zertifikat des Kommunikationspartners.
FAQ zu LUH-CA

Umfassende Liste mit Fragen und Antworten zum Thema Zertifizierungen
Smartcard

Smartcards stellen eine sichere Lösung für die Speicherung privater Schlüssel und zugehöriger Zertifikate dar. Allerdings erfordert der Einsatz von Smartcards Aufwand: man benötigt die Smartcard, ein Chipkarten-Lesegerät und vorallem die passende Software. Ist die Einrichtung erstmal erfolgt, ist die Nutzung einfach und die privaten Schlüssel können im Gegensatz zu in Software gespeicherten Schlüsseln und Passwörtern nicht unbemerkt in die Hände Dritter gelangen.