Serverzertifikate über ACME

Serverzertifikate können automatisiert über das ACME-Protokoll und Standard-Werkzeuge bezogen werden. Benötigt wird dafür ein ACME-Account, der für die entsprechenden Domains berechtigt ist. Der Beantragungsweg wird auf dieser Seite Schritt-Für-Schritt beschrieben.

Beantragungsweg

Voraussetzungen prüfen
Datenschutzhinweis & Nutzungsbedingungen beachten
Schritt 1: Auswahl der Domains
Schritt 2: ACME-Account beantragen
Schritt 3: ACME-Account erhalten
Schritt 4: Zertifikat ausstellen über ACME-Account
Schritt 5: Fehlerbehebung
Schritt 6: ACME-Account anpassen (optional)

Voraussetzungen prüfen

Damit Sie einen ACME-Account beantragen können, müssen einige Vorraussetzungen erfüllt sein. Diese sind im Folgenden in den Aufklappcontainern beschrieben. Prüfen Sie erst, ob Sie alle Voraussetzungen erfüllen, bevor Sie mit der Beantragung fortfahren.

Akkreditierung

Damit Serverzertifikate über ACME-Accounts von Ihnen ausgestellt werden können, müssen Sie akkreditiert sein. Sind Sie noch nicht akkreditiert, müssen Sie erst eine Akkreditierung bei uns einreichen. Wie das funktioniert, wird hier beschrieben:

Akkreditierung zum Erhalt von Serverzertifikaten
Domainvalidierung

Alle Domains, die in einem Serverzertifikatsantrag verwendet werden sollen, müssen validiert sein, sonst kann das Zertifikat nicht ausgestellt werden.

Bereits validiert ist die Domain uni-hannover.de (und damit auch alle anderen Sub-Domains), sowie einige wenige spezielle Domains.

Falls Sie ein Serverzertifikat für eine andere Domain beantragen wollen, beantragen Sie bitte zuerst mit einer Mail an support@luis.uni-hannover.de (Betreff: Domainvalidierung für Serverzertifikatsantrag) vor der Antragsstellung die Validierung der für das Zertifikat benötigten Domain(s).

Wenn Sie versuchen, ein Serverzertifikat für eine nicht-validierte Domain zu beantragen, erhalten Sie bei der Beantragung eine Fehlermeldung.

Datenschutzhinweis und Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In eines Zertifikats verpflichtet sind.

Datenschutzhinweis

Nutzungsbedingungen

Zertifikats-Policy

Schritt 1: Auswahl der Subdomains und FQDNs

Entscheiden Sie sich für die Subdomains oder FQDNs, für welche Zertifikate über den ACME-Account ausgestellt werden sollen. Beachten Sie dabei unbedingt:

Pro System soll ein eigener ACME-Account verwendet werden, welcher minimale Berechtigungen hat, d.h. nur die für das System notwendige Subdomains
Es sollten nur Subdomains angegeben werden, die aktuell benötigt werden
Eine Verwendung eines ACME-Accounts auf mehreren Systemen sollte wohlüberlegt sein und ist nur zulässig, wenn diese einer gleichen Sicherheitsdomäne angehören (z.B. Systeme mit eng verbundenen Backend-Servern oder zwei Systeme in einem Failover-Verbund)
Der ACME-Account
- kann nur Zertifikate für Subdomains beantragen, die explizit gelistet sind. Das Ausstellen von Zertifikaten von beliebigen Subdomains oder gar Wildcard-Zertifikaten ist nicht möglich.
- ist besonders schützenswert, da über die Zugangsdaten immer neue Zertifikate für die berechtigten Domains ausgestellt werden können. Von zu hoch privilegierten ACME-Accounts und/oder der Verteilung der ACME-Credentials auf mehreren Systemen ist aus Sicht der IT-Sicherheit dringend abzuraten.
- kann bei Bedarf nachträglich bzgl. berechtigter Subdomains angepasst werden (entfernen oder hinzufügen). Gehen Sie dafür wie in Schritt 6 beschrieben vor.

Schritt 2: ACME-Account beantragen

Beantragen Sie einen ACME-Account, indem Sie eine mit Ihrem persönlichen Nutzerzertifikat digital signierte Mail an antrag@ca.uni-hannover.de schreiben mit folgendem Inhalt:

An:
antrag@ca.uni-hannover.de

Betreff:
HARICA ACME Account: <Vorname>, <Nachname>, <Institutskürzel>-<Haupt-FQDN>

FQDNs:
<Auflistung der FQDNs, für die der ACME-Account Zertifikate ausstellen soll>

Ersetzen Sie alle Platzhalter (gekennzeichnet mit "<" am Anfang und ">" am Ende) mit den entsprechenden Daten.

Der Part "<Institutskürzel>-<Haupt-FQDN>" am Ende des Betreffs bildet den Friendly Name Ihres beantragten ACME-Accounts. Dieser lässt sich nachträglich nicht ändern und sollte eindeutig sein.

Schritt 3: ACME-Account erhalten

Nach erfolgreicher Prüfung Ihres Antrags durch das Zertifikatsteam des LUIS erhalten Sie eine verschlüsselte Mail mit Informationen zum erstellten ACME-Account. Beachten Sie:

Halten Sie die in der Mail enthaltenen Key ID, HMAC Key und Server URL geheim. Behandeln Sie diese wie einen privaten Schlüssel, da mit deren Kenntnis beliebige neue Zertifikate für die berechtigten Domains des ACME-Accounts ausgestellt werden können.
Geben Sie den ACME-Account nur an ebenfalls akkreditierte Personen weiter.
Sollte sich die Ansprechperson für den ACME-Account ändern, teilen Sie dies dem Zertifikatsteam des LUIS mit.
Sollte der ACME-Account nicht mehr benötigt werden, lassen Sie den Account beim Zertifikatsteam des LUIS deaktivieren.

Schritt 4: Zertifikat ausstellen über ACME-Account

Der ACME-Account kann nun verwendet werden, um Zertifikate für die berechtigten Domains auszustellen. Aufgrund des Typs des Accounts (SSL OV) ist keine Durchführung einer ACME-Challenge notwendig, sodass nur eine ausgehende Verbindung zum HARICA-ACME-Server benötigt wird.

Wählen Sie dafür einen ACME-Client Ihrer Wahl. Prüfen Sie dabei, ob der ACME-Client mit ihrer Server-Umgebung kompatibel ist und ob ACME Renewal Information (ARI) unterstützt wird. Grundsätzlich möglich sind z.B. certbot (in vielen Linux-Distributionen enthalten), simple-acme (Standard-Lösung für Windows), acme.sh oder ACME-Clients direkt in der Infrastruktur: Apache Modul mod_md oder Certmanager (Kubernetes/Openshift).

Ein Aufruf mit certbot geschieht beispielsweise mit:

certbot certonly --standalone --non-interactive --agree-tos --email <Funktionsmailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>

Ersetzen Sie alle Platzhalter (gekennzeichnet mit "<" am Anfang und ">" am Ende) mit den entsprechenden Daten:

Key ID, HMAC Key und Server URL haben Sie in der Mail in Schritt 3 erhalten.
Beim Registrieren des Accounts mit dem ACME-Client muss eine Mailadresse angegeben werden ("--email"). Wir empfehlen, hier eine Funktionsadresse zu verwenden, sofern die Automatisierung auf dem System nicht personengebunden sein soll.
Geben Sie bei "--domain" den gewünschten FQDN an, der in das Zertifikat aufgenommen werden sollen. Mehrere FQDNs geben Sie mit weiteren "--domain <FQDN>"-Flags an.

Ein beispielhafter Output des o.g. certbot-Aufrufs sieht wie folgt aus:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Account registered.
Requesting a certificate for test.luis.uni-hannover.de

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/test.luis.uni-hannover.de/fullchain.pem
Key is saved at: /etc/letsencrypt/live/test.luis.uni-hannover.de/privkey.pem
This certificate expires on 2027-01-26.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Nach der Zertifikatsausstellung ist wichtig zu prüfen, ob ein regelmäßiger Check aktiv ist, der bei Bedarf das Zertifikat automatisiert erneuert (z.B. bevor das Zertifikat abläuft). Das kann je nach eingesetztem ACME-Client und Betriebssystem unterschiedlich sein.
In oben gezeigten Beispiel (Output: Letzte Zeile) hat certbot automatisch einen solchen Check aktiviert, sodass in diesem Beispiel keine weitere Handlung notwendig ist. Falls Sie den Check für certbot manuell hinzufügen wollen oder sich unsicher sind, ob dieser aktiv ist, wird in der certbot-Dokumentation ("Setting up automated renewal") beschrieben, wie Sie dies einstellen können.
Ebenso sollte sichergestellt werden, dass nutzende Dienste (z.B. Webserver) nach Erneuerung des Zertifikats neugeladen werden (falls notwendig), da erst dann das neue Zertifikat geladen wird.

Weitere Dokumentation und Beispielaufrufe von ACME-Clients finden Sie auf den Seiten des DFN.

zur DFN-Dokumentation

Anleitungen für das Einpflegen von Zertifikaten und der notwendigen Dienste-Konfiguration

Anleitungen

Eine Übersicht über die Wurzel- und CA-Zertifikate von HARICA finden Sie hier.

HARICA CA-Zertifikate

Schritt 5: Fehlerbehebung

Es folgen einige bekannte Fehlermeldungen, die beim Aufruf eines ACME-Clients auftreten können.

Fehler: "The following domains are not whitelisted: <fqdn>".
- Ursache:
  Der ACME-Account ist nicht berichtigt, ein Zertifikat für die gewünschte Domain zu beantragen.
- Lösung:
  Prüfen Sie zuerst die angeforderten Domains auf Tippfehler. Sollte alles passen, prüfen Sie, ob der ACME-Account für die gewünschten Domains berechtigt ist, fragen Sie notfalls beim Zertifikatsteam des LUIS nach.
Fehler: "Identifiers could not be parsed from ACME Server"
- Ursache:
  Die Domain ist nicht im Enterprise verfügbar.
- Lösung:
  Prüfen Sie zuerst die angeforderten Domains auf Tippfehler. Sollte alles passen, prüfen Sie, ob der ACME-Account für die gewünschten Domains berechtigt ist, fragen Sie notfalls beim Zertifikatsteam des LUIS nach.

Sollten Sie weitere Fragen haben, wenden Sie sich an den LUIS-IT-Support.

Schritt 6: ACME-Account anpassen (optional)

Bei Bedarf können die berechtigten Subdomains des ACME-Accounts nachträglich angepasst werden (entfernen oder hinzufügen). Schreiben Sie dafür eine mit Ihrem persönlichen Nutzerzertifikat digital signierte Mail an antrag@ca.uni-hannover.de mit folgendem Inhalt: