Serverzertifikate

Neuer Beantragungsweg

Der Beantragungsweg für Serverzertifikate hat sich geändert. Diese werden nun bei TCS Sectigo beantragt. Da der Beantragungsweg im Vergleich deutlich vereinfacht wurde, empfehlen wir den neuen Weg, der auf dieser Seite beschrieben wird. Sollte der alte Beantragungsweg über die DFN-PKI dennoch benötigt werden, finden Sie diesen hier (möglich bis zum 31.12.2022).

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen. Der Beantragungsweg wird auf dieser Seite Schritt-Für-Schritt beschrieben.

Wie bekomme ich ein Zertifikat?

In der Abbildung werden die notwendigen Schritte in einer Übersicht dargestellt. Details zu den einzelnen Schritten finden Sie Schritt-Für-Schritt weiter unten auf dieser Seite.

Voraussetzung: Akkreditierung, validierte Domains, Datenschutz & Nutzungsbedingungen

Damit Serverzertifikatsanträge von Ihnen akzeptiert werden, müssen Sie akkreditiert sein. Sind Sie noch nicht akkreditiert, müssen Sie erst eine Akkreditierung bei uns beantragen. Wie das funktioniert, wird hier beschrieben:

Beantragung einer Domainvalidierung

Alle Domains, die in einem Zertifikats-Request verwendet werden sollen, müssen validiert sein, sonst kann das Zertifikat nicht ausgestellt werden.

Beim Klick auf "Submit" zum Absenden des Antrages erscheint bei der Verwendung nicht validierter Domains folgende  Fehlermeldung:
This domain 'beispiel.de' is not available for enrollment. Please contact administrator.

Bitte beantragen Sie mit einer Mail an zertifikatsteam@luis.uni-hannover.de vor der Antragsstellung die Validierung der für das Zertifikat benötigten Domain(s). 

Aktuell sind nur die Domain uni-hannover.de und einige wenige spezielle Domains validiert.

Datenschutzhinweis und Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In eines Zertifikats verpflichtet sind.


Schritt 1: Erstellen eines Certificate Signing Requests (CSR)

Im ersten Schritt müssen Sie einen Certificate Signing Request (CSR) erstellen. Damit generieren Sie 1. den privaten Schlüssel, den Sie am Ende in Kombination mit dem Zertifikat auf Ihrem Server verwenden und 2. die Antragsdatei, die Sie in Schritt 2 für den Serverzertifikatsantrag benötigen.

Anleitung für einen CSR mit OpenSSL

Schritt 2: Beantragen des Zertifikats über das Online-Formular

Beantragen Sie Ihr Serverzertifikat, indem Sie das Online-Formular ausfüllen:

  • Hinweise & Tipps zum Ausfüllen des Online-Formulars
    1. Nach dem Öffnen des Links müssen Sie zuerst die Institution auswählen. Dazu suchen Sie nach Leibniz Universität Hannover (oder uni-hannover.de) und wählen diese aus.
    2. Danach werden Sie auf eine Anmeldungs-Seite weitergeleitet. Dort melden Sie sich mit Ihren WEBSSO-Daten an.
    3. Sie erhalten eine Übersicht über Ihre Zertifikatsanträge. Klicken Sie auf "Enroll Certificate" um ein neues Serverzertifikat zu beantragen.
    4. Nun wird Ihnen das Online-Formular angezeigt.
      1. Die E-Mail-Adresse wurde aus den Bestandsdaten entnommen und kann nicht geändert werden. Auf dieser Basis wird geprüft, ob Sie für die Beantragung von Serverzertifikaten akkreditiert sind.
      2. Als Zertifikatsprofil wählen Sie OV Multi-Domain aus (damit sind auch mehrere alternative Namen im Zertifikat mögliche, siehe hier).
      3. Die Zertifikatslaufzeit ist nicht veränderbar (Certificate Term = 1 Year).
      4. Den in Schritt 1 erstellten CSR laden Sie in dem dazugehörigen Feld hoch (per Copy&Paste oder durch den Button "Upload CSR" und dortigem Auswählen der Datei server-req.pem)
      5. Das Feld Common Name wird automatisch ausgefüllt, sobald der CSR hochgeladen wurde.
      6. In dem Feld Subject Alternative Names können weitere alternative Namen im Zertifikat angegeben werden. Das Feld wird automatisch ausgefüllt, wenn alternative Namen im CSR angegeben wurden.
      7. Im Feld External Requester können Sie eine E-Mail-Adresse angeben, an die das Zertifikat und alle mit dem Zertifikat verbundenen Informationen zugestellt werden. Diese Angabe wird nicht in das Zertifikat übernommen. Hier bietet sich z.B. eine Funktionsadresse an, falls die Zertifikatsinformationen nicht nur an eine konkrete Person zugestellt werden sollen. Dies ist insbesondere auch für die Erinnerungsmails nützlich, die rechtzeitig an das Ablaufen und das damit verbundene notwendige Erneuern des Zertifikats erinnern.
      8. Im Feld Comments können Sie Kommentare für das Zertifikatsteam hinterlassen. Falls Sie Fragen oder Anmerkungen zu einem Zertifikatsantrag haben, schreiben Sie jedoch bitte zusätzlich eine Mail an zertifikatsteam@luis.uni-hannover.de, da das Kommentarfeld beim Bearbeiten des Antrags nicht immer eingesehen wird.
    5. Mit dem Klicken auf "Submit" wird der Antrag abgesendet und Sie erhalten eine Übersicht zu Ihrem Zertifikatsantrag. Sie erhalten zusätzlich eine Mail mit dem Betreff "Awaiting Approval", die nochmal zusätzlich bestätigt, dass der Zertifikatsantrag übermittelt wurde und auf Bearbeitung wartet.

Schritt 3: Erhalt des Zertifikats

Nach Bearbeitung Ihres Zertifikatsantrages erhalten Sie eine E-Mail mit Links zum Download des Zertifikats. In der E-Mail werden verschiedene Zertifikats-Formate angeboten. Der Zertifikat-Download kann auch mehrfach durchgeführt werden, sodass auch mehrere/alle Zertifikatsformate abgespeichert werden können. Die E-Mail wird von Sectigo verschickt und ist leider unsigniert. Das ist bedauerlich, jedoch gerade leider nicht zu ändern. Kontaktieren Sie uns, falls Sie Zweifel an der Echtheit der erhaltenen E-Mail haben.


Schritt 4: Einpflegen von Zertifikat und privatem Schlüssel in den Server

Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden. Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitungen für das Einpflegen von Zertifikaten und der notwendigen Dienste-Konfiguration
Eine Übersicht über die Wurzel- und CA-Zertifikate von TCS finden Sie hier.

Kontakt

Zertifikatsteam des LUIS
Zertifikatsteam des LUIS