• Zielgruppen
  • Suche
 

(Kurz-)Anleitung für Server-Zertifikate

1. Einleitung

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht die Authentizität des Servers eindeutig nachzuvollziehen.

Wer kann sich zertifizieren lassen?
Die Certification Authority (CA) der Leibniz Universität Hannover bietet Administratoren, insbesondere von Einrichtungen der Leibniz Universität Hannover, die SSL-Zertifizierung von Servern an.

2. Vorbereitung

Lesen der Policy

SSL-Zertifikate werden von der UH-CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) ausgestellt. Bitte lesen Sie die Policy sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.

 

3. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)

Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die CA übermittelt.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

  • Zertifikate für Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten. Nur bestimmt Domainnamen der LUH sind zulässig. Sollte von Ihrer Seite der Wunsch bestehen, einen bisher nicht zugelassenen Domainnamen zu nutzen, wenden Sie sich bitte an die RA, die ggfs. diesen Namen neu registriert.
  • Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
  • Ab dem 2.12.2014, 20:00 Uhr, werden Serverzertifikate in der DFN-PKI, Sicherheitsniveau Global, nur noch ohne E-Mail-Adressen im Zertifikat ausgestellt. In das bisher optionale Attribut "email=" bitte keine Eintragung vornehmen.
  • Für Server im Bereich der UH-CA lautet der Name:
    c=DE, st=Niedersachsen,l=Hannover,
    o=Leibniz Universitaet Hannover,ou=<Institut/Einrichtung>,
    cn=<voller Rechnername>,email=<E-Mail-Adresse des Server-Admin>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

 Anleitung für die Request-Generierung mit OpenSSL

4. Beantragen des Zertifikates bei der UH-CA

 

Der öffentliche PKI-Server der UH-CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Um ein Serverzertifikat zu beantragen, sind folgende Daten nötig:

  • Der unter 3. erzeugte Request-Datei (server.req).
  • Das gewünschte Server-Profil (Einsatzzweck des Zertifikates).
  • Ihre Kontaktdaten inklusive einer gültigen E-Mail-Adresse, damit Ihnen das Zertifikat zugestellt werden kann. Diese Angaben werden nicht in das Zertifikat übernommen.

Stellen Sie nun Ihren Antrag auf Zertifizierung und führen Sie die im Antragsformular geforderten Schritte durch:

Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie diese persönlich bei der Registrierungsstelle (RA) der UH-CA vor, vereinbaren Sie dazu bitte vorher einen Termin (Kontaktdatenaten siehe unten). Bringen Sie zur persönlichen Identifizierung auch einen gültigen amtlichen Lichtbildausweis (Personalausweis oder Reisepass) und ein Akkreditierungsschreiben ->Formular Ihres Instituts mit, welches Sie als Server-Admin ausweist.

Kontaktdaten: https://www.luis.uni-hannover.de/ra_uhca.html

5. Einpflegen von Zertifikat und privatem Schlüssel in den Server

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die UH-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist.

Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitung für OpenSSL

6. Erläuterungen zu unterschiedlichen Servertypen

Im Online-Antragsformular (Punkt 4, öffentlicher PKI Server) legen Sie über das Menü Zertifikatprofil den Einsatzzweck des Zertifkats fest. Die gelisteten Servertypen unterscheiden sich nur in den Attributen zur Kennzeichnung der Zertifikatverwendung ((extended) key usage). Wir stellen Ihnen mit dem Dokument Zertifikatprofile in der DFN PKI eine Auflistung der entsprechenden Zuordnungen zur Verfügung. Diese kann auch nützlich sein, wenn Sie den von Ihnen benötigten Servertyp nicht im Menü finden. Wählen Sie dann das Profil aus, welches den Attribut-Anforderungen Ihres Servers entspricht.