Zertifikate der LUH-CA

Die Leibniz Universität Hannover stellt im Rahmen einer DFN-weiten Public Key Infrastruktur (PKI) allen Mitgliedern und Angehörigen der LUH Zertifikate zur Verfügung.

Wer kann den Service nutzen?

Studierende ja
Beschäftigte ja
Einrichtungen ja
Administrierende ja

SERVICEBESCHREIBUNG

Im Rahmen von DFN-PKI-G2, einer DFN-weiten Public Key Infrastruktur (PKI) der mittlerweile zweiten Generation, können über das LUIS von allen Angehörigen und Mitgliedern der Leibniz Universität Hannover Zertifikate im X.509-Format für folgende Anwendungszwecke beantragt und bezogen werden.

  • Server-Zertifikate (Server-Authentifizierung)
  • Nutzerzertifikate (Signieren und Verschlüsseln von E-Mails, Signieren von Dokumenten)

Die Zertifizierungstelle (Certification Authority, CA) wird durch den DFN betrieben, die Bearbeitung der Zertifikatanträge erfolgt durch die im LUIS angesiedelte Registration Authority (RA).

Für alle Fragen im Zusammenhang mit Zertifizierung steht die RA der LUH-CA für Sie als Ansprechpartner zur Verfügung.

Persönliche Identifizierung

Für die Beantragung von Zertifikaten ist eine persönliche Identifizierung notwendig.

  • Persönliche Identifizierung zum Erhalt eines Nutzerzertifikats

    Für ein Nutzerzertifikat ist eine persönliche Identifizierung nötig, die nicht älter als 39 Monate ist und erst nach dem Ablauf dieser Frist bei Neubeantragung eines Zertifikates wiederholt werden muss.

    Die persönliche Identifizierung  findet in der RA der LUH-CA im LUIS statt. Vereinbaren Sie dazu bitte vorher einen Termin. Bringen Sie zur persönlichen Identifizierung neben dem unterschriebenen Zertifikatantrag einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) mit. Liegt uns eine noch gültige Identifizierung vor, können Sie den Antrag auch einsenden oder am Empfang des Rechenzentrums abgeben.

    Benötigen Sie Auskunft über die Gültigkeit Ihrer letzten Identifizierung, können Sie sich per E-Mail oder telefonisch  an die RA im LUIS wenden.

    In Ausnahmefällen kann die Identifizierung auch über Postident stattfinden.

  • Persönliche Identifizierung zum Erhalt eines Serverzertifikates

    Um für eine Einrichtung der Leibniz Universität Hannover Serverzertifikate beantragen zu können, benötigen Sie eine Akkreditierung der Leitung Ihrer Einrichtung, die besagt, dass Sie berechtigt sind, entweder für die gesamte Subdomain oder für einzelne Server der Einrichtung Zertifikate zu beantragen. Dafür muss ein Akkreditierungs-Formular ausgefüllt und von der Leitung Ihrer Einrichtung unterschrieben werden. Vereinbaren Sie einen Termin  zur persönlichen Identifizierung bei der Registrierungsstelle (RA) der LUH-CA und bringen Sie zur diesem Termin  einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) mit. Vergessen Sie bitte nicht das unterzeichnete Akkreditierungsschreiben und Ihre Zertifikatanträge.

    Die persönliche Identifizierung ist nur einmal notwendig, weitere  Server-Zertifikatanträge können Sie  auch einsenden,  am Empfang des Rechenzentrums abgeben oder im Anhang einer mit Ihrem persönlichen Nutzerzertifikat digital signierten E-Mail einzusenden.

INFORMATIONEN ZU ZERTIFIKATEN

  • Was sind Zertifikate
    • Zertifikate werden eingesetzt um Sicherheit von Daten zu gewährleisten (Verschlüsselung)  oder die Identität des Kommunikationspartners (Server-Authentifizierung, Mail-Signatur) eindeutig bestätigen zu können.

    • Ein digitales Zertifikat ist ein Datensatz,  dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Es entspricht einem digitalen Ausweisdokument, welches ein Schlüsselpaar bestehend aus einen öffentlichen und einem privaten Schlüssel eindeutig einer Person oder einem Server zuordnet. Eine Zertifizierungsstelle beglaubigt diese Zuordnung.
      • Eine Person oder ein Server identifiziert sich  durch den Besitz des privaten Schlüssels, der zu dem im Zertifikat beglaubigten öffentlichen Schlüssel passt.Der private Schlüssel eines Zertifikates verbleibt beim Besitzer des Zertifikates, er muss gut geschützt werden und darf nicht öffentlich werden. Geht der private Schlüssel verloren oder wird kompromittiert, muss das Zertifikat gesperrt werden. 

      • Der öffentliche Schlüssel eines Zertifikates muss den Kommunikationspartnern bekannt gemacht werden, damit diese anhand des Schlüssels überprüfen können, ob das Gegenüber tatsächlich im Besitz des geheimen Schlüssels ist. Der öffentliche Schlüssel von  A wird vom Kommunikationspartner B genutzt, um die Authentizität der Signatur von A zu prüfen oder um Daten für B zu verschlüsseln.
    • Ein Zertifikat enthält neben der Zuordnung des Schlüsselpaares zum Besitzer noch weitere Informationen wie z.B. Gültigkeitsdaten, die ausstellende Zertifizierungsstelle, Einsatz-Zweck des Zertifikates (Mailverschlüsselung, Signatur, Authentifizierung, ...)

    • Serverzertifikate dienen der Identifizierung des Servers, durch den Einsatz eines Server-Zertifikates lässt sich für die Klienten sicherstellen, wirklich mit dem Server verbunden zu sein, dessen Adresse angewählt wurde. Nur nur der "echte" Server kann das korrekte Zertifikat präsentieren.
    • Nutzerzertifikate sind personenbezogene Zertifikate. Diese Zertifikate können in Mailprogrammen zum Signieren und Verschlüsseln von E-Mail eingesetzt werden. Durch die digitale Signatur einer E-Mail können die Empfänger sicher sein, dass die absendende Person auch tatsächlich diejenige ist, als die sie sich ausgibt.
  • Was sind Wurzelzertifikate
    • Jedes Zertifikat enthält die Signatur der Zertifizierungsstelle, die dieses Zertifikat ausgestellt hat.

    • Dadurch kann die Kette aller beteiligten Zertifikaten verfolgt werden, bis hin  zu einem Wurzelzertifikat, dem vertraut wird.

    • Wurzelzertifikate werden von sicheren Trust-Centern ausgestellt, die sich durch sehr hohe Sicherheitsstandards auszeichnen und die regelmäßigen Qualitätskontrollen unterzogen werden.

    • Die  meisten Browser, Mailprogramme und viele andere Anwendungsprogramme bringen schon bei Installation eine Vielzahl integrierter vertrauenswürdiger Wurzelzertifikate mit.

    • Auch die Zertifikate der DFN-PKi  im Sicherheitsniveau global sind über das  bereits vorintegrierte Wurzelzertifikat der T-Systems  Business-Services in dieser vertrauenswürdigen Zertifikatskette mit einbezogen.



  • Zertifikate im Internet

    Bei der Nutzung von Internet-Services , können Sie sich im Ihrem Browser oder Mailprogramm das Zertifikat Ihres Kommunikationspartners anzeigen lassen.

    Zertifikatswarnungen Ihres Browsers oder Mailprogrammes  sollten Sie ernst nehmen und die Webseite, vor der gewarnt wird, gegebenenfalls lieber nicht besuchen. 

    Zumindest sollten Sie die Warnung und die darin enthaltenen Hinweise lesen und Ihnen nachgehen, bevor sie fortfahren.

    Typische Warnmeldungen könnten sein:

    • Das Zertifikat ist abgelaufen

    • Das Zertifikat wurde widerrufen

    • Das Zertifikat wurde für einen ganz anderen Server ausgestellt, z.B. der Server mail.ABC.de  präsentiert ein Zertifikat, welches auf www.124.de ausgestellt ist.

    • Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche selbst-signierten Zertifikate sollten nur für Testzwecke, aber nicht für öffentliche Server eingesetzt werden.

    • Der Browser oder das Mailprogramm kennen die Zertifizierungsinstanz (Certification Authority, CA) nicht, die das Zertifikat ausgestellt hat. Das kann daran liegen, dass das Wurzelzertifikat oder eines der Zwischenzertifikate fehlen. Die Zertifikatskette muss vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann keine vollständige Verifizierung stattfinden. 


    Bei Fragen und Unsicherheiten zu diesem Thema wenden Sie sich gerne an die die RA im LUIS.

LINKS UND INFORMATIONEN ZUR BEANTRAGUNG VON ZERTIFIKATEN

WEITERE SERVICES UND INFORMATIONEN IN DER DFN-PKI (PUBLIC KEY INFRASTRUCTURE)

ANLEITUNGEN

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer (IE 7)
PDF, 862 KB
Benutzerhandbuch für die Beantragung und Verwendung von Zertifikaten mit Firefox /Thunderbird
PDF, 565 KB
PDF-Dokumente digital unterschreiben (Adobe Reader 8)
PDF, 439 KB

KONTAKT

RA der LUH-CA
Adresse
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
RA der LUH-CA
Adresse
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 19:00 Uhr
Sprechzeiten
Aufgrund der Corona-Pandemie ist der IT-Service-Desk zur Zeit nur per E-Mail
in der Zeit von 08:00 - 17:00 Uhr erreichbar.
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 19:00 Uhr
Sprechzeiten
Aufgrund der Corona-Pandemie ist der IT-Service-Desk zur Zeit nur per E-Mail
in der Zeit von 08:00 - 17:00 Uhr erreichbar.