Intern
    Rechenzentrum

    Beantragen eines Serverzertifikats

    Mit einem SSL-Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Einem Nutzer wird es so möglich - im Gegensatz zu selbst signierten Zertifikaten - die Authenzität eines Servers zweifelsfrei nachzuvollziehen. Somit können Angriffszenarien wie Man-in-the-Middle Angriffe effektiv verhindert werden. Ebenfalls wird dem Nutzer (nach dem Import des Wurzelzertifikats) keine Zertifikatsfehler mehr angezeigt.

    SSL-Server-Zertifikate können nur für Server der Universität Würzburg erstellt werden. Der DNS-Name des Dienstes muss auf *.uni-wuerzburg.de enden. Zur Bearbeitung eines Zertifikatantrags muss der Registrierungsstelle ein Akkreditierungsschreiben des IT-Bereichsmanagers des jeweiligen Fachbereichs/der zentralen Einrichtung vorliegen. Vor der Erteilung des Zertifikats muss die Identität des Zertifikatnehmers durch die Registrierungsstelle festgestellt werden.

    Die Serverzertifikate sind ab der Ausstellung für 5 Jahre gültig.

    Schritte zum Serverzertifikat:

    1. Lesen der Zertifizierungsrichtlinie

    Für die Ausstellung von Zertifikaten durch die UNIWUE-CA sind die folgenden Zertifizierungsrichtlinien maßgeblich:

    CP der DFN-PKI V2.2, April 2009

    CPS der UNIWUE-CA V2.1, September 2011

     


     

    To top

    2. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifikatantrags

    Die Erzeugung eines Schlüsselpaares und die Erstellung des Zertifikatsantrags (Certificate Signing Request, CSR) kann mit den Tools der jeweiligen Serversoftware oder mit OpenSSL durchgeführt werden. Bei der Verwendung von OpenSSL verwenden Sie bitte die angepasste openssl.cnf. (Zuletzt aktualisiert: 15.04.2016)

    Dabei sind folgende Werte zu beachten:

    • Der private Schlüssel sollte eine Länge von mindestens 2048 Bit haben.
    • Der bei der Erstellung des CSR anzugebende eindeutige Name (Distinguished Name, DN) muss folgende Teile enthalten:

    C=DE
    L=Wuerzburg
    ST=Bayern
    O=Julius-Maximilians-Universitaet Wuerzburg
    OU=<Fachbereich/zentrale Einrichtung>
    CN=<vollständiger DNS-Name des Serverdienstes>

    Als "OU" setzen Sie bitte den auf Ihren Bereich zutreffenden Eintrag aus der Liste der möglichen OU-Bezeichner ein.

     

    Beispiel: Erstellung eines CSR für den Dienst "www.rz.uni-wuerzburg.de" mit OpenSSL:

    $ openssl req -config openssl.cnf -sha256 -newkey rsa:2048 -nodes -keyout www_rz.key -out www_rz.pem

    Generating a 2048 bit RSA private key
    ..................+++
    ...................................+++
    writing new private key to 'www_rz.key'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [DE]:
    Locality Name (eg, city) [Wuerzburg]:
    State or Province Name (full name) [Bayern]:
    Organization Name (eg, company) [Julius-Maximilians-Universitaet Wuerzburg]:
    Organizational Unit Name (eg, section) []:Rechenzentrum
    Common Name (eg, YOUR name) []:www.rz.uni-wuerzburg.de

     

    Da Serverdienste i.d.R. ohne manuelles Eingreifen des Administrators automatisch starten sollen, wurde im Beispiel durch die Option -nodes verhindert, dass OpenSSL den privaten Schlüssel mit einem Passwort sichert. Die Datei www_rz.key muss daher sorgfältig vor unbefugtem Zugriff geschützt werden!

    Die Datei www_rz.pem enthält den für den nächsten Schritt benötigten Zertifikatsantrag. Sie können die Werte des Antrags mit folgendem Kommando überprfen:

    openssl req -noout -text -in www_rz.pem

     


    To top

    3. Beantragen des Zertifikats bei der UNIWUE-CA

    Alle zur Zertifizierung benötigten Funktionen befinden sich auf den Webseiten der UNIWUE-CA

    1. Gehen Sie dort links oben auf "Zertifikate".

     

    2. Wählen Sie anschließend den Punkt "Serverzertifikat" eine Zeile darunter.

     

    3. Füllen Sie das Formular vollständig aus.

    3.1 Wählen sie die zuvor erstellte PEM-Datei aus.

    3.2 Bestimmen Sie den Einsatzzweck des Zertifikats.

    3.3 Geben Sie Ihren Vor- und Nachnamen an

    3.4 Tragen Sie eine gültige Funktionaladresse ein. (D.h. keine personenbezogene Mailadresse, da sich die Zuständigkeit für den Serverdienst während der Zertifikatslaufzeit durchaus ändern kann).

    3.5 Geben Sie Ihre Abteilung an.

    3.6 Tippen Sie ein Passwort ein, mit dem das Zertifikat ggf. gesperrt werden kann. Notieren Sie sich diese PIN!

    3.7 Setzen Sie ein Häkchen, um der Zertifizierungsrichtlinie zuzustimmen.

    3.8 Setzen Sie ein weiteres Häkchen, um der Veröffentlichung Ihres Zertifikats zu erlauben.

    3.9 Klicken Sie auf die Schaltfläche "Weiter" unterhalb des Formulars.

     

    4. Im folgenden Fenster können Sie noch einmal die eben eingegebenen Daten ändern, oder wenn alle Angaben richtig sind, mit einem Klick auf die Schaltfläche "Bestätigen" fortsetzen.

     

    5. Sie erhalten anschließend die Meldung, dass Sie Ihren Zertifikatsanstrag ausdrucken sollen. Wählen Sie dazu die Schaltfläche "Zertifikatsantrag anzeigen".

     

    6. Sofern Sie ein Programm zur Anzeige von PDF-Dateien installiert haben, wird der Zertifikatsantrag nun geöffnet. Drucken Sie diesen aus und ergänzen Sie die notwendigen Daten.

     

    7. Bringen Sie den Antrag samt einem Akkreditierungsschreiben persönlich bei der Registrierungsstelle der UNIWUE-CA im RZ nach vorheriger Terminabsprache bei Herrn Krieger (1U13) oder Herrn Völker (1U21) vorbei. Bitte bringen Sie dabei unbedingt den im Antrag angegeben, gültigen Ausweis (Reisepass, Personalausweis) mit.

    Sind alle Voraussetzungen korrekt erfüllt, dann gibt die Registrierungsstelle den Antrag zur Erstellung des Zertifikats an die UNIWUE-CA weiter. Von dieser wird das ausgestellte Zertifikat dann per Mail an die im Antrag angegebene Mailadresse geschickt.

     


     

     

    To top

    4. Einpflegen des Zertifikats in den Server

    Sobald Sie das Zertifikat per Mail erhalten haben, können Sie dieses samt dem privaten Schlüssel und der Zertifizierungskette in die entsprechende Serveranwendung integrieren.

    Beispiele für gebräuchliche Serverdienste werden im Laufe der Zeit hier aufgelistet werden.

     


    To top

    Kontakt

    Rechenzentrum der Universität Würzburg
    Am Hubland
    97074 Würzburg

    Tel. +49 931 31-85050
    Fax: +49 931 31-850500

    Suche Ansprechpartner

    Z8 (Rechenzentrum)