Anleitung zur Beantragung von Serverzertifikaten

Diese Hinweise richten sich an Bereichsadministratoren der Universität, deren Abteilungen eigene Server (insbesondere Webserver) betreiben.

Serverzertifikate benötigen Sie, um die Echtheit eines Servers zu bestätigen. Dies wird beispielsweise bei verschlüsselter Übertragung von Webseiteninhalten per SSL ("https") eingesetzt.

Die Beantragung von Serverzertifikaten ist etwas komplizierter als die der Nutzerzertifikate. Für die Beantragung kann entweder das Paket »openssl« oder das Paket »gnutls« (ggf. inklusive »gnutls-utils«) verwendet werden, welche auf dem Server installiert und konfiguriert sein müssen. Auf Linux-Servern gehen Sie bitte wie folgt vor:

  • Melden Sie sich als User "root" am System an.
  • Erzeugen Sie einen privaten Schlüssel (Key) mit folgendem Befehl:

    (openssl)# openssl genrsa -out private.pem 4096

    (gnutls)# certtool -p --rsa --pkcs8 --empty-password --sec-param=medium --outfile private.pem

    Damit wird im aktuellen Verzeichnis eine Datei namens "private.pem" angelegt, die den privaten Schlüssel mit einer Länge von 4096 bit für den Server enthält. Wichtig: Bitte achten Sie unbedingt darauf, die Berechtigung der Datei "private.pem" so zu setzen, dass ausschließlich der User, dem das Zertifikat gehören soll, Zugriff darauf hat!
  • Erzeugen Sie nun die Request-Datei für die Beantragung des Zertifikats:

    (openssl)# openssl req -sha256 -key private.pem -new -out request.pem

    (gnutls)# certtool -q --load-privkey private.pem --empty-password --outfile request.pem

    Es wird aus dem eben angelegten privaten Schlüssel eine Datei "request.pem" erzeugt, die Sie für die Beantragung des Zertifikats benötigen.
    Bei der Erzeugung der Request-Datei werden Sie nach mehreren Informationen gefragt, die in die Datei und das Zertifikat aufgenommen werden. Antworten Sie bitte wie folgt (bitte genau die angegebene Schreibweise übernehmen!):
     
    • Country Name: DE
    • State or Province Name: Schleswig-Holstein
    • Locality Name (City): Luebeck
    • Organization Name: Universitaet zu Luebeck
    • Organizational Unit: Ihr Institutsname
    • Common Name: Server-Name bzw. Website-Name, für den das Zertifikat ausgestellt werden soll, z.B. server1.xyz.uni-luebeck.de bzw. www.xyz.uni-luebeck.de (hat der Server weitere virtuelle DNS-Namen, die ebenfalls in das Zertifikat eingebunden werden sollen, sind diese handschriftlich auf dem später ausgedruckten Antrag zu vermerken)
    • Email-Address: Email-Adresse des Server-Administrators
    • Challenge Passwort: Lassen Sie dieses Feld bitte leer, ansonsten kann es sein, dass der Server bei jedem Start nach diesem Zertifikatpasswort fragt.
    • Optional Company Name: Leer lassen

    • zusätzlich gnutls:

    • DC: Leer lassen
    • UID: Leer lassen
    • Enter a dnsName of the subject of the certificate: Es werden solange neue Namen abgefragt, bis ein Name leer gelassen wird
    • URI: frei lassen
    • IP adress: frei lassen
    • Does the certificate belong to an authority? n
    • Will the certificate be used for signing? n
    • Will the certificate be used for encryption? n
    • Is this a TLS web client certificate? n
    • Is this a TLS server certificate? y

     
  • Wenn die Datei "request.pem" erzeugt wurde, rufen Sie bitte die Webseite zur Beantragung von Zertifikaten auf und wählen Sie dort den Reiter "Serverzertifikat".
  • Geben Sie in dem Feld hinter "PKCS#10-Zertifikatantrag (PEM-formatierte Datei)" den Pfad zu der oben erzeugten Datei "request.pem" an. Wenn Sie den Antrag nicht auf dem Server, sondern auf einem anderen Rechner (PC) stellen, müssen Sie die Datei per (S)FTP auf den lokalen Rechner kopieren. Bitte kopieren Sie keinesfalls den oben erzeugten privaten Key mit auf einen anderen Rechner! Dieser darf nur auf dem Rechner liegen, für den das damit erzeugte Zertifikat bestimmt ist und sollte nur für den User root lesbar sein.
  • Wählen Sie bei "Zertifikatsprofile" den Servertyp aus (in den meisten Fällen "Web Server").
  • Geben Sie in den unteren Feldern Ihren Namen (wie im Personalausweis / Reisepass geschrieben), Ihre Uni-Emailadresse und eine PIN an. Bitte notieren Sie sich die PIN - sie benötigen diese evtl. später, z.B. wenn das Zertifikat gesperrt werden soll.
  • Bitte Haken Sie die beiden Kästchen unten auf der Seite an und klicken Sie auf "Weiter".
  • Auf der folgenden Seite können Sie die eingegebenen Daten noch einmal überprüfen. Wenn alles korrekt ist, klicken Sie unten bitte auf "Bestätigen".
  • Der Zertifikatantrag wird nun beim DFN erstellt. Bitte klicken Sie auf "Zertifikatantrag anzeigen", um den Zertifikatantrag im PDF-Format zu öffnen.
  • Drucken Sie den Antrag nun aus und/oder speichern Sie ihn auf Ihrer Festplatte, falls sie ihn später noch einmal benötigen.
  • Lesen Sie sich die Erklärung auf dem Antrag durch, Unterschreiben Sie den Antrag und geben Sie ihn bei der Zertifizierungsstelle (CA) des IT-Service-Centers ab - Ansprechpartner siehe oben rechts.
    Bitte bringen Sie zur Abgabe des Antrages Ihren Studierenden- bzw. Mitarbeiterausweis UND Ihren Personalausweis oder Reisepass mit, da wir Sie identifizieren und die Zugehörigkeit zur Universität feststellen müssen. Alle Ausweise müssen bei Abgabe des Antrags gültig sein!
  • Nach Genehmigung durch die CA werden Sie Ihr Zertifikat per Email an die bei der Beantragung angegebene Adresse erhalten.

Zertifikatkette

Eventuell müssen Sie auf dem Server die komplette Zertifikatkette installieren.
Diese gibt es hier im PEM-Format.