Serverzertifikate beantragen (GÉANT TCS)

Inhalt

Vor­aus­set­zun­gen zum Be­an­tra­gen von Ser­ver-Zer­ti­fi­ka­ten

Zertifikate für Server in den Instituten und Einrichtungen (den Organisationseinheiten) der Universität Kassel können über die Web-Schnittstelle des GÉANT TCS beantragt werden. Dazu benötigen Sie

  • eine funktionsfähige Installation von OpenSSL, um den Schlüssel zu generieren. Sie können den Zertifikatsrequest aber auch anders erzeugen.
  • einen digitalen PKCS#10-Zertifikatantrag (CSR) im PEM-Format

OpenSSL

OpenSSL [extern] wird als fertiges Pakete bei den meisten Linux-Distributionen mitgeliefert. Für Windows Betriebssystem gibt es ebenfalls ein Installationspaket [extern].
OpenSSL ist ein Werkzeugkasten mit verschiedenen Programmen u.a. zur Verarbeitung und Erzeugung von elektronischen Zertifikatsanträgen und Zertifikaten. Alle OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche. Sie benötigen also auch unter Windows ein Kommandozeilen-Fenster (CMD.EXE).

Zertifikatsantrag (CSR) mit OpenSSL erstellen

Wählen Sie zum Erzeugen des Zertifikatsantrages einen vertrauenswürdigen Computer, denn dabei wird ein Schlüsselpaar aus einem privatem Schlüssel ("private key") und einem öffentlichen Schlüssel ("public key") erzeugt. Der „private key“ darf nicht in falsche Hände geraten!

Mit OpenSSL erzeugen Sie die Schlüsseldatei und die Zertifikatsantragsdatei mit nachfolgenden Befehlen. Dabei muss der gesamte Befehl in einer Zeile stehen. Sie können sich eine Kommandodatei (Shell-Script, CMD/BAT-Datei) mit dem Befehl anlegen.

    Ohne Passwort:
    Eine Schlüsseldatei ohne Passwort wird üblicherweise verwendet, wenn Sie den Schlüssel z.B. direkt in den Anwendungen Apache Web-, OpenLDAP- oder FreeRadius- Server einbinden und diese Dienste beim Booten des Rechners bzw. Starten des Dienstes kein Passwort abfragen.

    openssl genrsa -out key-no-pw.pem 4096

    Eine Datei mit dem Namen „key-no-pw.pem“ wird in dem Verzeichnis angelegt, von dem Sie diesen Befehl aus absetzen. Diese Datei muss vor Zugriffen anderer geschützt werden.

    Mit Passwort:
    Falls Sie eine Schlüsseldatei mit Passwort benötigen, wählen Sie nachfolgenden Befehl. Beachten Sie dabei, dass Sie dann beim Starten des Dienstes immer das Passwort eingeben müssen.

    openssl genrsa -aes256 -out key.pem 4096

    Sie werden nachdem Sie diesen Befehl ausgeführt haben, zur Eingabe eines Passwortes aufgefordert.

    • Enter pass phrase for key.pem:
    • Verifying - Enter pass phrase for key.pem:

     Nachträglich Passwort entfernen:
    Mit folgender Befehlszeile können Sie aus einer mit Passwort geschützten Schlüsseldatei (key.pem) eine Schlüsseldatei ohne Passwortschutz (key-no-pw.pem) erzeugen:

    openssl rsa -in key.pem -out key-no-pw.pem

    In der .pem Datei werden der private und der öffentliche Schlüssel abgelegt.

    openssl req -new -key key-no-pw.pem -out request.pem

    Falls Sie den RSA Schlüssel mit Passwort generiert haben, geben Sie folgendes ein:

    openssl req -new -key key.pem -out request.pem

    Nach Eingabe der Befehlszeile müssen folgende Angaben gemacht werden:

    • Country Name (2 letter code) [AU]:DE
    • State or Province Name (full name) [Some-State]:Hessen
    • Locality Name (eg, city) []:Kassel
    • Organization Name (eg, company) [Internet Widgits Pty Ltd]:Universitaet Kassel
    • Organizational Unit Name (eg, section) []:Ihre Einrichtung
    • Common Name (e.g. server FQDN or YOUR name) []:ihr-servername.uni-kassel.de
    • Email Address []:ihre-email@uni-kassel.de

     

    Die „Extra Attribute“ lassen Sie leer indem Sie die „Enter Taste“ drücken.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

    Es wird eine Datei „request.pem“ erzeugt. Diese benötigt man zum Hochladen in das Webinterface des GÉANT TCS.

    Die request.pem Datei enthält folgende Informationen:

    • "Distinguished Name" (DN), Zeichenkette die den Server eindeutig identifiziert und einer Organisationseinheit der Uni Kassel zuordnet. Und den öffentlichen Schlüssel Beispiel: C="DE", O="Universitaet Kassel", OU="ITS", CN=FQDN
    • Die Uni Kassel-CA kann nur Zertifikate mit C="DE", O="Universitaet Kassel" ausstellen.
    • "OU" Organisationseinheit, die den Server betreibt (offizielle Bezeichnung der Einrichtung oder des Instituts). Umlaute und Kommata können nicht verwendet werden. Siehe Liste der Einrichtungen
    • "CN" ist der Common Name, d.h. für einen Server der vollständige DNS-Name ("Fully Qualified Domain Name", FQDN). Jeder Webbrowser überprüft, ob der CN im Zertifikat mit der aufgerufenen URL übereinstimmt. Andernfalls gibt es eine Zertifikatswarnung.

    Liste der Einrichtungen für die Antragsdatei

    • Erziehungswissenschaft, Humanwissenschaften
      Institut für Erziehungswissenschaft
      Medienpädagogik
      Institut für Philosophie
      Institut für Psychoanalyse
      Institut für Ev. Theologie/Religionspädagogik
      Institut für Kath. Theologie
      Musik

    • Sprach- und Literaturwissenschaften
      Institut für Anglistik/Amerikanistik
      Institut für Germanistik
      Institut für Romanistik

    • Sozialwesen
      Institut für Sozialpädagogik und Soziologie der Lebensalter
      Institut Sozialpolitik und Organisation Sozialer Dienste
      Institut für Soziale Therapie, Supervision und Organisationsberatung
      Institut für Psychologie

    • Gesellschaftswissenschaften
      Geschichte
      Politik
      Soziologie
      Geographie

    • Architektur, Stadtplanung, Landschaftsplanung

    • Wirtschaftswissenschaften
      Institut für Betriebswirtschaftslehre
      Institut für Volkswirtschaftslehre
      Institut für Berufsbildung
      Institut für Wirtschaftsrecht

    • Ökologische Agrarwissenschaften
      Institut für Nutzpflanzenkunde (INK)
      Institut für soziokulturelle Studien

    • Bauingenieurwesen
      Institut für Baustatik und Baudynamik (IBSD)
      Institut für Bauwirtschaft (IBW)
      Institut für Geotechnik und Geohydralik (IGG)
      Institut für Konstruktiven Ingenieurbau (IKI)
      Institut für Verkehrswesen (IVW)
      Institut für Wasser, Abfall, Umwelt (IWAU)

    • Maschinenbau
      Institut für Mechanik
      Institut für Mess- und Automatisierungstechnik
      Institut für Werkstofftechnik
      Institut für Maschinenelemente und Konstruktionstechnik
      Institut für Produktionstechnik und Logistik
      Institut für Thermische Energietechnik
      Institut für Arbeitswissenschaft

    • Mathematik und Naturwissenschaften
      Institut für Mathematik
      Institut für Biologie
      Institut für Chemie
      Institut für Physik

    • KHS Kunsthochschule Kassel
      Visuelle Kommunikation
      Bildende Kunst, Kunstpädagogik
      Produkt Design
      Kunstwissenschaft

    • Internationales Zentrum für Hochschulforschung Kassel (INCHER-Kassel)

    • WZ für Umweltsystemforschung (CESR)

    • Center for Interdisciplinary Nanostructure Science and Technology (CINSaT)

    • Forschungszentrum für Informationstechnik-Gestaltung (ITeG)

    • IAG Frauen- und Geschlechterforschung

    • IAG Grundschulpädagogik

    • IAG Kulturforschung

    • ZLB Zentrum für Lehrerbildung

    • Bibliothek

    • IT-Servicezentrum (ITS)

    • Internationales Studienzentrum
      Sprachenzentrum
      Studienkolleg für ausländische Studierende

    • Studentenwerk Kassel
      Psychsoziale Beratungsstelle

    • UniKasselTransfer
      Forschungsreferat
      OST-WEST-Wissenschaftszentrum
      Patentinformationszentrum (PIZ)
      Technologietransfer
      GINo Gesellschaft für Innovation Nordhessen mbH

    • Uniwerkstätten

    • Zentrale Universitätsverwaltung
      Referat E (Entwicklungsplanung von Forschung und Lehre)
      Justiziariat
      Abt. IR - Interne Revision
      Abt. II - Studium und Lehre
      Abt. III - Personalabteilung
      Abt. IV - Haushalts- und Finanzabteilung
      Abt. V - Bau, Technik, Liegenschaften
      Abt. VII - Kommunikaton und Internationales

    • Servicecenter Lehre (SCL)

    3. Zertifikatsantrag (CSR) hochladen

    Bitte melden Sie sich via Cert-Manager über den folgenden Link an:

    https://cert-manager.com/customer/DFN/ssl/uni-kassel-serverzertifikate

    Bitte klicken Sie auf "Your Institution" und geben im Suchfenster "Kassel" ein.

    Wählen Sie „Universität Kassel“ aus. Sie werden auf den Shibboleth Login Service weitergeleitet.

    Bitte loggen Sie sich hier mit Ihrem UniAccount und dem zugehörigen Passwort ein.

    Sollten Sie bereits mehrere Zertifikate beantragt haben, erhalten Sie hier einen Überblick.

    Für die Beantragung eines neuen Zertifikates klicken Sie auf „Enroll Certificate“.

    Als Account wählen Sie bitte „Uni Kassel

    Die Felder Organization, Department, E-Mail, Certificate Profil und Certificate Term sind vorausgefüllt und lassen sich nicht ändern.

    Um die CSR Datei hochzuladen klicken Sie auf „Upload CSR“ und laden Sie die erstellte Datei „request.pem“ hoch.

    Der Common Name wird angezeigt, sobald die Datei hochgeladen wurde. Wenn Sie noch alternative Namen für das Serverzertifikat benötigen, können Sie diese unter Subject Alternative Names einzeln eintragen.

    Unter External Requester können Sie eine zusätzliche E-Mailadresse, die die Benachrichtigungen zum Zertifikat erhalten sollen, eintragen. Das Feld kann aber auch leer bleiben.

    Unter Comments können Sie Kommentare zum Zertifikat eingeben oder es leer lassen.

    „Submit“ sendet den Zertifikatsantrag

    (öffnet Vergrößerung des Bildes)

    Auf der Seite Certificate Manager wird das beantragte Zertifikat mit dem Status "REQUESTED" angezeigt.

    (öffnet Vergrößerung des Bildes)

    Nachdem das Zertifikat von einem Mitarbeiter der RA genehmigt wurde, erhalten Sie eine E-Mail von Certificate Service Manager mit Downloadlinks für die verschiedenen Zertifikatsformate

    • as Certificate only, PEM encoded (nur das Zertifikat)
    • as Certificate (w/ issuer after), PEM encoded (Zertifikat mit Zertifikatskette)
    • as Certificate (w/ chain), PEM encoded (nur die Zertifikatskette)
    • as PKCS#7
    • as PKCS#7, PEM encoded

    Für Apache und Nginx eignet sich "Certificate (w/ issuer after), PEM encoded".

    Weiterhin werden folgende Root Zertifikate zum Download angeboten. Diese Root-Zertifikate sind in allen aktuell verfügbaren Browsern und Betriebssystemen vorinstalliert.

    • as Root/Intermediate(s) only, PEM encoded
    • as Intermediate(s)/Root only, PEM encoded

    Unter folgenden Link finden Sie eine Übersicht über die einzelnen Zertifikatsformate und ihrer Verwendung.

    Wenn Sie das Zertifikat in einem p12/pfx Format benötigen, klicken Sie auf das Format "as Certificate (w/ issuer after)",. Mit OpenSSL können Sie die heruntergeladene .crt Datei mit dem privaten Schlüssel (key.pem oder key-no-pw.pem) in eine p12 Datei konvertieren.

    Die Datei „server.pem“ steht hier für die herunter geladenen Zertifikatsdatei. Falls Sie das Zertifkat mit Passwort erstellt haben nehmen Sie anstatt „key-no-pw.pem“ die Datei „key.pem“

    openssl pkcs12 -export -out zertifikat.p12 -inkey key-no-pw.pem -in server.pem

    Das Export-Passwort nach dem sie gefragt werden, wird gebraucht, wenn Sie das Zertifikat importieren oder exportieren wollen.