Betreiber von Servern innerhalb der HTWK Leipzig, die für den Betrieb ihres Dienstes eine sichere Verbindung benötigen, können sich hier Zertifikate ausstellen lassen.
Beantragung eines Zertifikates
Zunächst müssen Sie eine Zertifikatsanforderung (CSR) erzeugen. Dies geschieht je nach Software z.B. über OpenSSL, über das Keytool von Java oder aus der jeweiligen Anwendung heraus (z.B. Internet Information Server).
Dabei ist folgendes zu beachten:
Schlüssel: RSA, mindestens 2048 Bit
- C=DE
- ST=Sachsen (optional, wird in der Regel nur von MS Produkten verwendet)
- L=Leipzig (optional, wird in der Regel nur von MS Produkten verwendet)
- O=Hochschule fuer Technik\, Wirtschaft und Kultur Leipzig
- OU=... (optional)
- CN=... (FullQualifiedDomainName, vollständiger Rechnername)
Beinhaltet der vollständige Rechnername keine Subdomain (z.B. www.htwk-leipzig.de), wird das Attribut OU weggelassen. Ist eine Subdomain enthalten (z.B. server1.imn.htwk-leipzig.de), kann als OU der Einrichtungsname (z.B. imn) angegeben werden. Es gibt die Möglichkeit, alternative Namen in einem Zertifikat zu verwenden. Dies ist aber nur im Nachgang beim Signieren des Zertifikates in der RA möglich, nicht beim Beantragen und ist persönlich zu vereinbaren.
Bei Unklarheiten bezüglich der Namensgebung wenden Sie sich bitte an ca (at) htwk-leipzig.de.
Laden Sie auf den Seiten der HTWK Leipzig CA die Zertifikatsanforderung hoch und tragen Sie die Daten ein:
- Zertifikatsprofil (Zweck des Servers - Webserver, Mailserver ...)
- Vorname und Name der beantragenden Person wie im Personaldokument
- Hochschul-Email-Adresse
- PIN (notieren !!)
- Zustimmen zur Zertifizierungsrichtlinie
- Veröffentlichen (Ja/Nein)
Im Anschluss wird ein Formular erzeugt, dass Sie bitte ausdrucken und ausfüllen.
- Vereinbaren Sie einen Termin mit uns und kommen Sie im IT-Servicezentrum in der Eichendorffstraße 2 in der 2.Etage vorbei. Dabei unbedingt das ausgefüllte Formular und ein gültiges Ausweisdokument (Personalausweis oder Reisepass) mitbringen.
- Bei korrekt gestelltem Antrag erhalten Sie eine elektronische Genehmigung des Zertifikatsantrages durch die RA. Ihnen wird im Anschluss das ausgestellte Zertifikat per email an die im Zertifikatsantrag angegebene Email Adresse zugeschickt.
» Eine Beispielanleitung für die Beantragung eines Serverzertifikates finden Sie hier.
Importieren des Zertifikates in Anwendung
Anschließend können Sie dann Ihr neues Zertifikat importieren. Die Vorgehensweise ist je nach Anwendung unterschiedlich.
Zusätzlich benötigen Sie meistens noch die Zertifikatskette, die Sie über die Schnittstelle des DFN herunter laden können.
» Eine Beispielanleitung für das Importieren des Zertifikates in einen Apache-Webserver.
Root-CA und CA-Zertifikate
Das Zertifikat einer Zertifizierungsstelle dient dazu, die Signatur (digitale Unterschrift), die alle von dieser Stelle ausgestellten Zertifikate für Server tragen, überprüfen zu können. Solche Überprüfungen werden z.B. von Webbrowsern durchgeführt, wenn verschlüsselte Seiten aufgerufen werden.
Von uns ausgegebene Zertifikate werden in einer Zertifikatskette letztendlich von der Deutschen Telekom geprüft. Dieses sogenannte Wurzelzertifikat (Root Certificate) ist bereits in vielen Browsern enthalten und deshalb wird unser Zertifikat dort ohne Warnung akzeptiert.
Falls nicht, sollte das Wurzelzertifikat "T-TeleSec GlobalRoot Class 2" installiert werden.
Entsprechende Zertifikate und Fingerprints sind hier einzusehen:
https://www.pki.dfn.de/wurzelzertifikate/globalroot2/
Weitere Informationen
finden Sie unter http://www.pki.dfn.de
Kontakt
E-Mail: ca (at) htwk-leipzig.de
- Harald Wanke Tel.: +49 341 30766448
- Volker Dötsch Tel.: +49 341 30766336