--------------------
  • IT and media
  • Library
  • Informationstechnik
    • ----------
    • Benutzerkennung / E-Mail / HCU-Card
    • Computerpools / Arbeitsplätze
    • Software
    • Vernetzt Arbeiten
      • ----------
      • WLAN / VPN
      • eduroam
      • E-Learning / Stud.IP
      • Dateiserverdienste
      • Drucken und Kopieren
      • Sicherheit
      • ----------
    • Anleitungen
    • Beratung, Service, Kontakt
    • ----------
  • Kartographie
  • ResearchPilot (former StadtLabor)
  • Digital Workshop
--------------------

Public Key Infrastruktur (PKI)

TLS-Server-Zertifikate beantragen

Der elektronische Zertifikatsantrag, (engl. Certificate Signing Request, CSR), ist wie das folgende Beispiel aufgebaut:

C="DE", O="HafenCity Universitaet Hamburg", OU="Informationstechnik", CN="www.pki.hcu-hamburg.de"
  

  • Die HCUHH CA kann nur Zertifikate mit C="DE", O="HafenCity Universitaet Hamburg" ausstellen.
  • Mit OU (Organisational Unit) wird die Organisationseinheit bezeichnet, die den Server betreibt. Die Zeichenkette, die die OU beschreibt, kann nicht frei gewählt werden. Es muss sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute und Kommata sollten nicht verwendet werden.
  • CN ist der Common Name, d. h. für einen Server der vollständige DNS-Name (Fully Qualified Domain Name, FQDN). Jeder Webbrowser wird prüfen, ob der Common Name im präsentierten Zertifikat mit der aufgerufenen URL übereinstimmt. Andernfalls gibt es eine Zertifikatswarnung.

Zum Erzeugen des Zertifikatantrages muss ein vertrauenswürdiger Computer gewählt werden. Auf diesem Rechner wird bei der Erzeugung des Zertifikatantrages ein Schlüsselpaar erzeugt. Das Schlüsselpaar besteht aus einem geheimen (private key) und einem öffentlichen (public key) Schlüssel. Der geheime Schlüssel darf nicht in falsche Hände geraten!

Mit OpenSSL wird ein Zertifikatsantrag mit dem folgenden Befehl erzeugt:

openssl req -newkey rsa:2048 -sha256 -subj "/CN=www.pki.hcu-hamburg.de/OU=Informationstechnik/O=HafenCity Universitaet Hamburg/L=Hamburg/ST=Hamburg/C=DE" -nodes -keyout www.pki.hcu-hamburg.de.private.key -out www.pki.hcu-hamburg.de.csr

Seit Bekanntwerden der Logjam-Attacke gehört zum Erzeugen eines neuen Zertifikates auch das Erzeugen individuellen Diffie-Hellman-Parameter dazu. Die Diffie-Hellman-Parameter sollten die gleiche Länge aufweisen, wie das dazugehörende Zertifikat. Der entsprechende Aufruf lautet:

openssl dhparam -out www.pki.hcu-hamburg.de.dhparams.pem 2048

Sowohl Windows Server, als auch SUSE Linux Systeme erwarten TLS-Server-Zertifikate im PKCS#12 Dateiformat. Im PKCS#12-Format kann man alle für die Nutzung eines Zertifikats benötigten Dateien (privater Schlüssel, öffentlicher Schlüssel und Zertifikatskette) in einer einzigen Datei passwortgeschützt abspeichern. Mit Hilfe von OpenSSL wird die Datei wie folgt erstellt:

wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt
openssl pkcs12 -export -inkey www.pki.hcu-hamburg.de.private.key -in www.pki.hcu-hamburg.de.pem -certfile chain.txt -out www.pki.hcu-hamburg.de.p12

Nachdem das TLS-Zertifikat erstellt wurde folgt die eigentliche Arbeit. Denn die Konfiguration von TLS-Servern stellt eine ständige Herausforderung dar. Aktuelle Informationen hierzu findet man beispielsweise im Blog der Kollegen der DFN PKI.

Online-Antrag

Für den Online-Antrag wird die zuvor erzeugte Datei server.csr benötigt.

https://pki.pca.dfn.de/hafencity-uni-hamburg-ca-g2/pub

  • Menüpunkt "Zertifikate"
  • Menüpunkt "Serverzertifikat"

Identifizierung bei der Registrierungsstelle

Der Antragsteller vereinbart einen Termin zur Identifizierung bei einer Registrierungsstelle (Kontakt über die IT-Beratung) und bringt dazu folgende Dokumente mit:

  • den gültigen Personalausweis
  • den ausgefüllten und unterschriebenen Zertifikatantrag im Original
  • die ausgefüllte, unterschriebene und gestempelte Teilnehmer-Erklärung

Nach der Identifizierung und Überprüfung der Dokumente wird die Registrierungsstelle den Online-Antrag digital signieren. Daraufhin sollten Sie nach ein paar Stunden Ihr Zertifikat per Email an die Adresse erhalten, die Sie im Online-Antrag angegeben haben.