• Zielgruppen
  • Suche
 

DFN-PKI G2 – Zertifikate für die Leibniz Universität Hannover

Im Rahmen von DFN-PKI-G2, einer DFN-weiten Public Key Infrastruktur (PKI) der mittlerweile  zweiten Generation, können über das LUIS von allen Angehörigen und Mitgliedern der Leibniz Universität Hannover Server- und Benutzerzertifikate im X.509-Format beantragt und bezogen werden.

Die Zertifizierungsttelle (Certification Authority, CA) wird durch den DFN betrieben, die Bearbeitung von Anträgen und Nutzeranfragen erfolgt in der im LUIS angesiedelten Registrierungsstelle (Registration Authority, RA). Das LUIS fungiert als Kontaktstelle für die LUH in allen Belangen und Fragen bezüglich PKI.

Wichtige Information zum notwendigen Umstieg auf die zweite Generation G2 der DFN-PKI

Grund für die Umstellung: Im Juli  2019 läuft das in der DFN PKI der ersten Generation verwendetete Wurzelzertifikat der Deutschen Telekom „Deutsche Telekom Root CA 2“ ab, die DFN-PKI muss auf ein neues Wurzelzertifikat „T-TeleSec GlobalRoot Class2" wechseln, welches bis 2033 gültig ist. Alle Nutzer- und Serverzertifikate, die unter der ersten Generation der PKI ausgestellt wurden, werden spätestens zum 10.07.2019 auslaufen.

Die neuen, unter der zweiten DFN-PKI-Generation ausgestellten Zertifikate haben dann wieder die gewohnte Laufzeit von 36 Monaten, Serverzertifikate werden durch eine Neuregelung in der Zertifizierungsrichtlinie der DFN-PKI (CP) ab dem 01.03.2018 allerdings nur noch eine Gültigkeitsdauer von 825 Tagen haben.

Die Zertifizierungsstelle UH-CA der ersten Generation wird Mitte 2019 auslaufen. Bis dahin können zwar noch Zertifikate von dieser CA bezogen werden, dies wird bis auf wenige Ausnahmefälle jedoch nicht empfohlen.

 

Für Nutzerzertifikate lautet unsere Empfehlung ohne Einschränkung, sie in der neuen Hierarchie G2 zu beantragen, die wenigen Ausnahmen beziehen sich auf einzelne Serverzertifikate. Auf diese Ausnahmen wird im Folgenden noch eingegangen.

Für alle anderen Fälle gilt: Bei der Beantragung eines Zertifikates ändert sich bis auf die URL der Antragsseite nichts. Bei Serverzertifikaten müssen Sie beachten, dass die PKI der Zweiten Generation auch eine neue Zertifikatskette mit sich bringt  – das neue TeleSec Wurzelzertifikat und die beteiligten Zwischenzertifikate des DFN. Diese Zertifikatskette muss auf Servern zusätzlich zum neuen Zertifikat der zweiten Generation mit ausgetauscht werden, damit Benutzer beim Zugriff keine Zertifikatsfehlermeldungen bekommen.

Die neue Zertifikatskette finden  Sie unter den Reitern "CA-Zertifikate" -> "Zertifikatkette anzeigen" auf den Seiten der DFN-PKI zur Beantragung von Nutzer- und Serverzertifikaten der Generation G2 für die LUH oder direkt unter dieser URL: CA-Zertifikatkette G2.

Weitere Informationen und Anleitungen finden Sie unter den Menüpunkten der Webseite der Zertifizierungsstelle UC-CA (1. Generation G1)

Falls Sie bevorzugen, ein Zertifikat über die alte UH-CA der ersten Generation zu beantragen, erreichen Sie über folgenden Link auch direkt die G1-Beantragungsseite: G1-Zertifikat direkt beantragen

Ausnahmen

Das der DFN-PKI-G2 zugrunde liegende neue T-Telesec Global Root Class 2 Root-Zertifikat der T-Telesec ist in allen gängigen Betriebssystemen bzw. Browsern vorinstalliert. Eine Ausnahme ist das Betriebssystem Android, welches das neue Wurzelzertifikat der TeleSec erst ab Versionen höher als 4.4 enthält. Werden Dienste angeboten, bei denen das Gerät nicht über einen Browser bzw. über eine Anwendung mit eigenem Zertifikatsspeicher zugreift, sondern der Zertifikatsspeicher des Betriebssystems genutzt wird (zum Beispiel bei Radius-Servern), könnte in diesem Fall angeraten sein, den Server noch solange mit einem Zertifikat der ersten Generation zu betreiben, bis diese Android-Versionen nicht mehr oder kaum noch in Umlauf sind.

Persönliche Identifizierung zum Erhalt eines Nutzerzertifikates

Für ein Nutzerzertifikat ist eine persönliche Identifizierung nötig, die nicht älter als 39 Monate ist. Legen Sie Ihren Zertifikatantrag persönlich bei der Registrierungsstelle (RA) der UH-CA vor, vereinbaren Sie dazu bitte vorher einen Termin (Kontaktdaten siehe rechts im Menü). Bringen Sie zur persönlichen Identifizierung neben dem unterschriebenen Zertifikatantrag einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) mit. Liegt uns eine noch gültige Identifizierung vor, können Sie den Antrag auch einsenden oder am Empfang des Rechenzentrums abgeben.

Persönliche Identifizierung zum Erhalt eines Serverzertifikates

Um für eine Einrichtung der Leibniz Universität Hannover Serverzertifikate beantragen zu können, benötigen Sie eine Akkreditierung der Leitung Ihrer Einrichtung, die besagt, dass Sie berechtigt sind, entweder für die gesamte Subdomain oder für einzelne Server der Einrichtung Zertifikate zu beantragen. Bitte füllen Sie dazu folgendes  Akkreditierungsschreiben ->Formular aus und lassen Sie es von der Leitung Ihrer Einrichtung abzeichnen. Vereinbaren Sie einen Termin (Kontaktdaten siehe rechts im Menü) zur persönlichen Identifizierung bei der Registrierungsstelle (RA) der LUH-CA und bringen Sie zur diesem Termin  einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) mit. Vergessen Sie bitte nicht das Akkreditierungsschreiben und Ihre Zertifikatanträge.

Die Akkreditierung und persönliche Identifizierung sind 39 Monrat gültig. In diesem Zeitraum ist es ausreichend, weitere Server-Zertifikatanträge per Post einzusenden oder ohne Termin unten beim Empfang abzugeben.