Serverzertifikate

Die auf dieser Seite beschriebenen Schritte zur Zertifikatsbeantragung beziehen sich auf Serverzertifikate. Für die Beantragung von persönlichen Nutzerzertifikaten halten Sie sich bitte an unsere Anleitung für Nutzerzertifikate.


WIE BEKOMME ICH EIN ZERTIFIKAT?

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht die Authentizität des Servers eindeutig nachzuvollziehen.

Serverzertifikate beantragen kann jede universitätszugehörige Person, die von der Leitung einer Einrichtung der Leibniz Universität Hannover zum Bezug von Zertifikaten autorisiert und akkreditiert wurde:


Zuerst: Machen Sie Sich mit den Regularien vertraut.

Die Qualität eines Zertifikats hängt ab von den Sicherheitsanforderungen an den Betrieb der CA. Diese sind in der DFN-PKI-Zertifizierungsrichtlinie (Policy) festgeschrieben. SSL-Zertifikate werden von der LUH-CA ausschließlich auf der Grundlage dieser Policy ausgestellt.

Welche Regelungen und Pflichten Sie als InhaberIn eines Zertifikats der DFN-PKI einhalten müssen, finden Sie in den Informationen für Zertifikatinhaber.


1. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages

Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Signing Request (CSR) (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die CA übermittelt.

Folgende Regeln sind bei der Erzeugung des Zertifikats-Requests zu beachten:

  • Zertifikate werden nur für Domains ausgestellt, deren Besitzerin die  Leibniz Universität Hannover ist. Diese Domains müssen in der DFN-PKI validiert sein. Sind nicht beide Bedingungen erfüllt, lässt sich der erstellte Request nicht hochladen und Sie erhalten eine Fehlermeldung. Bitte wenden Sie sich für die Registirerung der Domain an den Support des LUIS, für die Validierung der korrekt registrierten Domain an die RA der LUH-CA.

  • Zertifikate für Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten, der die oben genannten Bedingungen erfüllt. Die Angabe mehrerer alternativer Hostnamen in einem Server-Zertifikat ist möglich.

  • Das Attribut  CN darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.

  • Die Austellung von Wildcard-Zertifikaten wird aufgrund des höheren Gefährdungspotentiales innerhalb der DFN-PKI sehr restriktiv gehandhabt und kann auch nicht von der Leibniz Universität Hannover sondern ausschließlich vom DFN-Verein direkt ausgestellt werden. Sollte für Ihren Anwendungsfall technisch keine andere Lösung möglich sein (z.B. dynamisch erzeugte Hostnamen) wenden Sie sich an die RA der LUH-CA, die ein solches Zertifikat beim DFN beantragen und genehmigen lassen muss. In der Regel genügt die Angabe mehrerer alternativer Hostnamen in einem Server-Zertifikat.

  • Seit 2018 werden in der DFN-PKI ausgestellte Serverzertifikate mit Certificate Transparency veröffentlicht. Aus diesem Grund muss die antragsstellende Person der Veröffentlichung der Zertifikates zustimmen. Ohne diese Zustimmung kann in der DFN-PKI kein Serverzertifikat erstellt werden.

  • Serverzertifikate werden in der DFN-PKI, Sicherheitsniveau Global ausschließlich ohne E-Mail-Adressen im Zertifikat ausgestellt. In das bisher optionale Attribut "email=" in der Request-Datei bitte keine Eintragung vornehmen.

  • Für Server im Bereich der LUH-CA lautet der Name:
    c=DE, st=Niedersachsen,l=Hannover,
    o=Leibniz Universitaet Hannover,ou=<Institut/Einrichtung>,
    cn=<voller Rechnername>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

Anleitung für einen CSR mit OpenSSL
Anleitung Zertifikatsrequest-Erzeugung mit OpenSSL (DFN)
OpenSSL-Konfigurationsdatei für Zertifikatsrequest (luh-ca.cnf) mit LUH-Vorbelegung

2. Beantragen des Zertifikats über das Online-Formular

Um ein Serverzertifikat zu beantragen, sind folgende Daten nötig:

  • Die unter 1. erzeugte Request-Datei (name.req).
  • Das Zertifikatprofil bestimmt die Zertifikatsverwendung (KeyUsage & ExtendedKeyUsage) entsprechend dem Einsatz-Zweck. Eine Übersicht ist verlinkt, für Abweichende Notwendigkeiten nehmen Sie bitte Kontakt zur RA der LUH-CA auf.
  • Ihre Kontaktdaten inklusive einer gültigen E-Mail-Adresse, damit Ihnen das Zertifikat und alle mit dem Zertifikat verbundenen Informationen zugestellt werden können. Diese Angaben werden nicht in das Zertifikat übernommen. Es sollte sich bei dieser Kontakt-E-Mail Adresse um eine Funktionsadresse und nicht um eine persönliche Adresse handeln. Informationen über den Ablauf eines Zertifikates gehen ansonsten unter Umständen an Personen, die schon nicht mehr bei der Einrichtung beschäftigt sind.

Beantragen Sie Ihr Zertifikat indem Sie den Zertifikatsantrag für Server ausfüllen und führen Sie die im Antragsformular geforderten Schritte durch:


3. Antrag an RA der LUH-CA schicken

Der unterschriebene Server-Zertifikatsantrag kann von akkreditierten Personen per (Haus)-Post an unsere Kontaktadresse gesandt oder am Empfang des Rechenzentrums persönlich abgegeben werden. Desweiteren kann ein Zertifikatsantrag auch digital signiert eingesendet werden.

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die LUH-CA eine E-Mail, der im Anhang Ihr Zertifikat beigelegt ist.


4. Einpflegen von Zertifikat und privatem Schlüssel in den Server

Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden. Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitungen für das Einpflegen von Zertifikaten und der notwendigen Dienste-Konfiguration

KONTAKT

RA der LUH-CA
Address
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
RA der LUH-CA
Address
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 17:00 Uhr
Office hours
Der IT-Service-Desk des LUIS ist ab sofort wieder von Mo-Fr in der Zeit von 08-17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 17:00 Uhr
Office hours
Der IT-Service-Desk des LUIS ist ab sofort wieder von Mo-Fr in der Zeit von 08-17 Uhr telefonisch erreichbar.