Serverzertifikate

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen. Der Beantragungsweg wird auf dieser Seite Schritt-Für-Schritt beschrieben.


Voraussetzungen prüfen

Damit Serverzertifikatsanträge von Ihnen akzeptiert werden können, müssen einige Vorraussetzungen erfüllt sein. Diese sind im Folgenden in den Aufklappcontainern beschrieben. Prüfen Sie erst, ob Sie alle Voraussetzungen erfüllen, bevor Sie mit der Beantragung fortfahren.

  • Akkreditierung

    Damit Serverzertifikatsanträge von Ihnen akzeptiert werden, müssen Sie akkreditiert sein. Sind Sie noch nicht akkreditiert, müssen Sie erst eine Akkreditierung bei uns einreichen. Wie das funktioniert, wird hier beschrieben:

  • Domainvalidierung

    Alle Domains, die in einem Serverzertifikatsantrag verwendet werden sollen, müssen validiert sein, sonst kann das Zertifikat nicht ausgestellt werden.

    Bereits validiert ist die Domain uni-hannover.de (und damit auch alle anderen Sub-Domains), sowie einige wenige spezielle Domains.

    Falls Sie ein Serverzertifikat für eine andere Domain beantragen wollen, beantragen Sie bitte zuerst mit einer Mail an support@luis.uni-hannover.de (Betreff: Domainvalidierung für Serverzertifikatsantrag) vor der Antragsstellung die Validierung der für das Zertifikat benötigten Domain(s).

    Wenn Sie versuchen, ein Serverzertifikat für eine nicht-validierte Domain zu beantragen, erhalten Sie bei der Beantragung eine Fehlermeldung.

  • WebSSO-Account

    Für den Login am Certificate-Manager von HARICA benötigen Sie Ihren WebSSO-Account.

    Nutzen Sie für den Login unbedingt "Academic Login", damit Sie sich mit Ihren WebSSO-Account einloggen können.

    Ein separater Account sollte auf keinen Fall erstellt werden. Anträge über Nicht-Academic-Accounts werden nicht genehmigt. Eine gleichzeitige Nutzung mit einem Academic-Account ist nicht möglich. Ein separater Account muss erst über den HARICA-Support gelöscht werden, bevor ein Academic Account unter der gleichen E-Mail-Adresse verwendet werden kann.

Datenschutzhinweis und Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In eines Zertifikats verpflichtet sind.


Schritt 1: Zertifikat beantragen (Online-Formular ausfüllen)

Beantragen Sie Ihr Serverzertifikat, indem Sie auf der Harica-Beantragungsseite über Ihren Account einen entsprechenden Antrag (Server) stellen:

  • Richtlinien & Tipps zu den Schritten der Antragsstellung bei HARICA
    • Loggen Sie sich im Certificate-Manager von HARICA unter
      https://cm.harica.gr/ServerCertificateRequest ein.
      • Nutzen Sie für den Login unbedingt "Academic Login", damit Sie sich mit Ihren WebSSO-Account einloggen können.
      • Ein separater Account darf nicht erstellt werden. Anträge über Nicht-Academic-Accounts werden nicht genehmigt. Eine gleichzeitige Nutzung mit einem Academic-Account ist nicht möglich. Ein separater Account muss erst über den HARICA-Support gelöscht werden, bevor ein Academic Account unter der gleichen E-Mail-Adresse verwendet werden kann.
      • Wenn Sie den o.g. Link verwenden, landen Sie automatisch im Beantragungsbereich für Serverzertifikate. Andernfalls klicken Sie im Bereich "Certificate Requests" auf "Server".
    • Domains:
      • Das Feld "Friendly name" ist optional, dort können Sie bei Bedarf dem Antrag/Zertifikat einen stimmigeren Namen geben.
      • Geben Sie in den Feldern "Add domains" die Domains an, für die Sie ein Zertifikat beantragen wollen. Es können bis zu 100 Domains angegeben werden (SANs - "Subject Alternative Names").
        • HARICA bietet alternativ auch den Upload/Import einer Datei mit einer Domainliste an, womit das einzelne Einfügen der SANs in die grafische Oberfläche vermieden werden kann. Eine Beispiel-CSV wird nach Klick auf "Import" von HARICA zum Download bereitgestellt.
      • Wildcard-Zertifikate werden nur in Sonderfällen und nach Rücksprache genehmigt.
    • Product: Wählen Sie hier "For enterprises or organizations (OV)" aus.
    • Details: Bestätigen Sie die automatisch eingefügten Organisationsinformationen, die auch mit in das Zertifikat übernommen werden.
    • Summary:
      • Es folgt eine Zusammenfassung der Zertifikatsdaten.
      • Ebenso müssen die Nutzungsbedingungen und Datenschutzhinweise akzeptiert werden.
    • Submit:
      • Nun muss ein privater Schlüssel generiert werden. Dazu haben Sie zwei Möglichkeiten:
        • 1) Auto-generate CSR:
          Bei dieser Möglichkeit wird der private Schlüssel automatisch lokal in Ihrem Browser generiert (nicht auf dem HARICA-Server) und Ihnen anschließend einmalig zum Abspeichern angeboten. Sie können Algorithmus und Key size anpassen, bei RSA empfehlen wir eine Mindestschlüssellänge von 4096bit. Zusätzlich muss ein ausreichend sicheres Passwort gesetzt werden, um die private Schlüsseldatei zu schützen. Anschließend müssen Sie bestätigen, dass Sie das Passwort des Schlüssels geheim halten.
        • 2) Submit CSR manually
          Sie können den privaten Schlüssel auch über einen CSR lokal generieren und an dieser Stelle den CSR reinkopieren.
          Wichtig: Weitere Informationen aus dem CSR werden nicht übernommen (insbesondere keine SANs). Falls Sie dennoch die CSR-Option wählen wollen, finden Sie auf den Seiten des LUIS eine Anleitung zum Erstellen eines CSRs.
      • Ebenso müssen erneut die Nutzungsbedingungen und Datenschutzhinweise akzeptiert werden.
    • Falls Sie die Option "Auto-generate CSR" gewählt haben, können Sie nun Ihren privaten Schlüssel einmalig herunterladen. Die Erstellung des Schlüssels kann einige Zeit dauern, brechen Sie den Vorgang nicht ab.
    • Der Antrag ist nun gestellt und taucht bei Ihnen im Dashboard unter "Pending Certificates" auf.

Schritt 2: Erhalt des Zertifikats

Nach Bearbeitung Ihres Zertifikatsantrages erhalten Sie eine Informations-E-Mail, dass ihr Zertifikat genehmigt und bereit zum Download ist. Sie können sich nun im Certificate Manager von HARICA unter https://cm.harica.gr einloggen. Rufen Sie die URL im Browser auf und nicht durch Klicken auf den Link in der Mail. In Ihrem Dashboard sehen Sie das genehmigte Zertifikat, dort können Sie es in verschiedenen Formaten herunterladen.


Schritt 3: Erinnerungsmails bei Zertifikatsablauf konfigurieren

Erinnerungsmails zum Zertifikatsablauf werden initial ausschließlich an die beantragende Mail-Adresse gesendet. Es ist jedoch möglich (und empfehlenswert), diese Erinnerungsmails auch an weitere E-Mail-Adressen (z.B. Funktionsadressen) zu versenden. Um weitere E-Mail-Adressen hinzuzufügen, navigieren Sie in Ihrem Dashboard im Bereich "Valid Certificates" zu Ihrem Zertifikat und wählen über die drei Punkte "Order details" aus. Im sich öffnenden Menü können unter "Notifications" über den Button "Edit" weitere E-Mail-Adressen hinzugefügt werden.

Der Versand der Mails erfolgt 15, 5 und 1 Tage vor Zertifikatsablauf.


Schritt 4: Einpflegen von Zertifikat und privatem Schlüssel in den Server

Die Datei, die das Zertifikat enthält, muss nun (zusammen mit dem privaten Schlüssel) in der Laufzeit-Umgebung Ihres Servers installiert werden. Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitungen für das Einpflegen von Zertifikaten und der notwendigen Dienste-Konfiguration
Eine Übersicht über die Wurzel- und CA-Zertifikate von HARICA finden Sie hier.

Kontakt

Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.