Anleitung für Server-Zertifikate

Die auf dieser Seite beschriebenen Schritte zur Zertifikatbeantragung beziehen sich auf Serverzertifikate. Für die Beantragung von persönlichen Nutzerzertifikaten halten Sie sich bitte an unsere Anleitung für Nutzerzertifikate.

EINLEITUNG

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht die Authentizität des Servers eindeutig nachzuvollziehen.

Serverzertifikate beantragen kann jede universitätszugehörige Person, die von der Leitung einer Einrichtung der Leibniz Universität Hannover zum Bezug von Zertifikaten autorisiert und akkreditiert wurde.

1. MACHEN SIE SICH MIT DEN REGULARIEN VERTRAUT

Die Qualität eines Zertifikats hängt ab von den Sicherheitsanforderungen an den Betrieb der CA . Diese sind in der DFN-PKI- Zertifizierungsrichtlinie (Policy) festgeschrieben. SSL-Zertifikate werden von der LUH-CA ausschließlich auf der Grundlage dieser Policy ausgestellt.

Welche Regelungen und Pflichten Sie als InhaberIn eines Zertifikats der DFN-PKI einhalten müssen, finden Sie in den Informationen für Zertifikatinhaber. 

Bitte lesen Sie sich vor der Zertifikatbeantragung  die entsprechenden Dokumente sorgfältig durch.

 

2. ERZEUGEN EINES SCHLÜSSELPAARES UND ERSTELLEN EINES ZERTIFIZIERUNGSANTRAGES (CERTIFICATE SIGNING REQUEST, CSR)

Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die CA übermittelt.

Folgende Regeln sind bei der Erzeugung des Zertifikats-Requests zu beachten:

  • Zertifikate werden nur für Domains ausgestellt, deren Besitzerin die  Leibniz Universität Hannover ist. Diese Domains müssen in der DFN-PKI validiert sein. Sind nicht beide Bedingungen erfüllt, lässt sich der erstellte Request nicht hochladen und Sie erhalten eine Fehlermeldung. Bitte wenden Sie sich für die Registirerung der Domain an den Support des LUIS, für die Validierung der korrekt registrierten Domain an die RA der LUH-CA
  • Zertifikate für Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten, der den oben genannten Bedingungen erfüllt. Die Angabe mehrerer alternativer Hostnamen in einem Server-Zertifikat ist möglich.
  • Das Attribut  CN darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
  • Die Austellung von Wildcard-Zertifikaten wird aufgrund des höheren Gefährdungspotentiales innerhalb der DFN-PKI sehr restriktiv gehandhabt und kann auch nicht  von der Leibniz Universität Hannover sondern ausschließlich vom DFN-Verein  direkt ausgestellt werden. Sollte für Ihren Anwendungsfall technisch keine andere Lösung möglich sein (z.B. dynamisch erzeugte Hostnamen) wenden Sie sich an die RA der LUH-CA, die ein solches Zertifikat beim DFN beantragen und genehmigen lassen muss. In den meisten In der Regel genügt die Angabe mehrerer alternativer Hostnamen in einem Server-Zertifikat.
  • Seit 2018 werden in der DFN-PKI ausgestellte Serverzertifikate mit Certificate Transparency veröffentlicht. Aus diesem Grund muss die antragsstellende Person der Veröffentlichung der Zertifikates zustimmen. Ohne diese Zustimmung kann in der DFN-PKI kein Serverzertifikat erstellt werden.
  • Serverzertifikate werden in der DFN-PKI, Sicherheitsniveau Global ausschliesslich ohne E-Mail-Adressen im Zertifikat ausgestellt. In das bisher optionale Attribut "email=" in der Request-Datei bitte keine Eintragung vornehmen.
  • Für Server im Bereich der LUH-CA lautet der Name:
    c=DE, st=Niedersachsen,l=Hannover,
    o=Leibniz Universitaet Hannover,ou=<Institut/Einrichtung>,
    cn=<voller Rechnername>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

 Anleitung für die Request-Generierung mit OpenSSL

3. UNTERSCHIEDLICHE SERVERTYPEN UND ZERTIFIKATPROFILE

Im Zuge des bei der Beantragung des Server-Zertifikates auszufüllende Online-Antragsformular (unter Punkt 4. Beantragen des Zertifikates bei der LUH-CA als nächstes beschrieben) werden Sie aufgefordert über ein Zertifikatprofil den Einsatz-Zweck des Zertifkats festzulegen. Die gelisteten Servertypen unterscheiden sich nur in den Attributen zur Kennzeichnung der Zertifikatverwendung ([extended] key usage). Wir stellen Ihnen mit dem Dokument Zertifikatprofile in der DFN PKI eine Auflistung der entsprechenden Zuordnungen zur Verfügung. Wenn Sie den von Ihnen benötigten Servertyp nicht im Menü finden, wählen Sie  dasjenige Profil aus, welches den Attribut-Anforderungen Ihres Servers entspricht. Sollten Sie ein Profil benötigen, welches sich mit keinem der angebotenen Profile in Einklang bringen lässt, nehmen Sie bitte Kontakt zur RA der LUH-CA auf.

Zertifikatsprofile in der DFN-PKI

4. BEANTRAGEN DES ZERTIFIKATES BEI DER LUH-CA

Der öffentliche PKI-Server der LUH-CA stellt alle nötigen Funktionen für die im Zusammenhang mit der Zertifizierung stehenden Tätigkeiten zur Verfügung. Um ein Serverzertifikat zu beantragen, sind folgende Daten nötig:

  • Die unter 2. erzeugte Request-Datei (name.req).
  • Das gewünschte Server-Profil (Einsatz-Zweck des Zertifikates).
  • Ihre Kontaktdaten inklusive einer gültigen E-Mail-Adresse, damit Ihnen das Zertifikat und alle mit dem Zertifikat verbundenen Informationen zugestellt werden können. Diese Angaben werden nicht in das Zertifikat übernommen. Es sollte sich bei dieser Kontakt-E-Mail Adresse um eine Funktionsadresse und nicht um eine persönliche Adresse handeln. Informationen über den Ablauf eines Zertifikates gehen ansonsten unter Umständen an Personen, die schon nicht mehr bei der Einrichtung beschäftigt sind.

Beantragen Sie Ihr Zertifikat indem Sie den Zertifikatantrag für Server ausfüllen und führen Sie die im Antragsformular geforderten Schritte durch:

Unterschreiben Sie den während des Beantragungsverfahrens ausgedruckten Zertifikatantrag. Wenn Sie für Ihre Einrichtung schon zum Bezug von Serverzertifikaten akkreditiert sind, senden Sie den Antrag an uns ein, das Zertifikat wird Ihnen per Mail zugestellt. Sollten Sie im Besitz eines gültigen Nutzerzertifikates der DFN-PKI sein, können sie Zertifikatanträge auch digital signiert einsenden. Sollten Sie noch nicht akkreditiert sein, müssen Sie einen Termin vereinbaren und persönlich im Rechenzentrum in der RA der UH-CA vorbeikommen. Bringen Sie neben dem Zertifikatsantrag zur persönlichen Identifizierung unbedingt folgende Papiere mit:

  • Einen gültigen amtlichen Lichtbildausweis (Personalausweis, Reisepass oder Aufenthaltstitel mit Ausweisfunktion).
  • Ein ausgefülltes und von Ihrer Einrichtung unterschriebenes  Akkreditierungsschreiben, welches Sie zur Beantragung von Zertifikaten für Ihre Einrichtung berechtigt.

Akkreditierungsschreiben (PDF)

Kontakt zur RA der LUHCA

Weitere Informationen zur persönlichen Identifizierung (neuer Tab)

Einsenden digital signierter Server-Zertifikatanträge

5. EINPFLEGEN VON ZERTIFIKAT UND PRIVATEM SCHLÜSSEL IN DEN SERVER

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die LUH-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist.

Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitung für OpenSSL

KONTAKT

RA der LUH-CA
Adresse
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
RA der LUH-CA
Adresse
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover