Am 10. Januar 2025 wird der Dienstleister Sectigo voraussichtlich die Ausstellung von Zertifikaten für alle GÉANT TCS-Kunden einstellen. Dies betrifft eine Vielzahl von (Forschungs-) Einrichtungen in Europa, darunter zahlreiche in Deutschland, sowie auch die Universität Hohenheim. Hintergrund der Situation sind Differenzen zwischen Sectigo und GÉANT in Bezug auf zentrale Vertragsfragen. Nach aktuellem Stand ist davon auszugehen, dass Sectigo seine Leistungen ab dem genannten Datum nicht mehr erbringen wird. GÉANT arbeitet bereits intensiv an der Suche nach einem neuen Anbieter, jedoch wird bis zur Aufnahme des Regelbetriebs durch diesen eine mehrmonatige Unterbrechung der Dienstleistung erwartet.

Wir empfehlen daher dringend, Zertifikate, die innerhalb des 2. Quartals 2025 ablaufen, noch vor Ende des Jahres zu erneuern. Dies ermöglicht eine ausreichende Überbrückung der Übergangszeit, bis der neue Dienstleister vollständig integriert ist und die Arbeitsprozesse an den neuen Regelbetrieb angepasst wurden.

Welche Zertifikatstypen sind betroffen?

  • Serverzertifikate (SSL) – für die Absicherung von Web- und Serverdiensten
  • Persönliche Zertifikate (S/MIME) – für die Signatur und Verschlüsselung von E-Mails

Welche Optionen gibt es, nach dem 10.01.2025 ein neues Zertifikat für Server zu beziehen?

  • Frühzeitige Beantragung eines neuen Zertifikats:
    Falls Sie bereits wissen, dass ein Zertifikat nach diesem Datum benötigt wird, sollten Sie noch vor Ende 2024 ein neues Zertifikat beantragen. So können Sie die Übergangszeit bis zur Einführung eines neuen Dienstleisters überbrücken.
  • Automatisierung über ACME (Automatic Certificate Management Environment) für Webserver:
    Für selbst administrierte Webserver bietet sich die Implementierung einer Automatisierungslösung über das ACME-Protokoll an. Als Interimslösung, ab dem 10. Januar 2025, bis zur vollständigen Integration des neuen Zertifikatsdienstleisters besteht die Möglichkeit, Zertifikate über den Anbieter 'Let’s Encrypt' zu beziehen.

Welche Optionen gibt es, nach dem 10.01.2025 ein neues, persönliches (S/MIME)-Zertifikat zu beziehen?
Persönliche (S/MIME)-Zertifikate haben (ab Ausstellungsdatum) eine Gültigkeit von zwei Jahren. Falls Ihr persönliches (S/MIME)-Zertifikat ein Ablaufdatum vor Ende des zweiten Quartals 2025 besitzt, besteht Ihre einzige Option darin, noch vor Ende des Jahres 2024 Ihr (S/MIME)-Zertifikat zu erneuern.

Wofür werden Serverzertifikate verwendet?

Serverzertifikate werden eingesetzt, um eine sichere Verbindung zwischen Server und PC zu ermöglichen, wenn z. B. sensible Daten über ein öffentliches Netz übertragen werden sollen. Das bekannteste Beispiel ist der Webserver. Sichere Verbindungen beginnen mit einem https und werden bei den Browsern in der Adresszeile besonders hervorgehoben.

!Bitte beachten! Wichtige Mitteilung der IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in Richtlinie TR-02102-2 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.html) nachdrücklich die Verwendung von SSL/TLS-Zertifikaten mit einer Schlüssellänge von mindestens 3072 Bit (höchstens jedoch 4096 Bit). Eine größere Schlüssellänge bietet ein höheres Maß an Sicherheit vor kryptographischen Angriffen.

Bitte prüfen Sie daher, ob Ihre derzeitigen SSL/TLS-Zertifikate (Serverzertifikate) eine ausreichend große Schlüssellänge aufweisen. Falls Sie Serverzertifikate mit kleinerer Schlüssellänge bisher verwenden, empfehlen wir die zeitnahe Migration zu Serverzertifikaten mit einer Schlüssellänge von mindestens 3072 Bit.

Bitte beachten Sie, dass hierbei auch der private Schlüssel ersetzt werden muss. Das Skript (certificateapplication.sh) auf login.uni-hohenheim.de wurde inzwischen auf eine Schlüssellänge von 4096 Bit angepasst.

Serverzertifikat per Webformular beantragen

Über ein Webformular können Serverzertifikate bezogen werden.
Leider ist über diese Methode keine automatisierte Verlängerung des Zertifikates möglich. Daher müssen Sie diese manuell durchführen.

Voraussetzungen / Vorbereitungen

  • Hohenheimer Benutzerkonto (für die Anmeldung über unseren IDP)
  • Zuordnung des Hohenheimer Benutzerkontos zu einer Einrichtung. Dies muss nur einmal vorgenommen werden. Bitte wenden Sie sich per E-Mail an kim-pki@uni-hohenheim.de und teilen uns neben Ihrer Nutzerkennung auch die Subdomain mit, die Ihre Einrichtung nutzt.
  • Der FQDN für den Server steht fest (z. B. servername.[subdomain.]uni-hohenheim.de) und ist im DNS registriert.
    [Falls noch nicht geschehen, bitte unter kim-dns@uni-hohenheim.de eine IP-Adresse und DNS-Namen beantragen.]
  • Im Formular wird der CSR des Servers abgefragt. Bitte bereiten Sie diesen vor.

    Für die einfache Erstellung eines Zertifikatsantrages stellen wir ein Skript bereit, welches Sie durch den Prozess leitet. Sie können es verwenden indem Sie sich per ssh mit Ihrem Hohenheimer Benutzerkonto auf login.uni-hohenheim.de einloggen und das Skript dort starten:

    user@login1:~> certificateapplication.sh

Vorgehensweise

  • Wenn Sie die o.g. Voraussetzungen erfüllen und alle Vorbereitungen getroffen haben, rufen Sie in Ihrem Browser folgende URL auf und wählen unter „Your Institution“ „University of Hohenheim – uni-hohenheim.de“ aus:
    https://cert-manager.com/customer/DFN/ssl/hoh-servercertificate
  • Authentifizieren Sie sich mit Ihrem Hohenheimer Benutzernamen und dem zugehörigen Passwort.
  • Wählen Sie nun im unteren Bereich unter „Select Enrollment Account“ den für Sie mit der passenden Einrichtung versehenen Eintrag „Universität Hohenheim – [Einrichtungsname] (Server Certificate)“.
    Sollten Sie sich nicht direkt in dieser Enrollment-Ansicht befinden, sondern in der Ansicht „Certificate List“, wählen Sie bitte den grünen Button „Enroll Certificate“ im rechten oberen Eck.
  • Füllen Sie nun alle erforderlichen Felder aus.
    • Certificate Profile & Certificate Term ist nicht abzuändern!
    • Unter dem Button „Upload CSR“ oder über Copy & Paste im darunterliegenden Feld können Sie den CSR einfügen.
    • Sollten Sie bei Erstellung des CSR noch keinen „Subject Alternative Name“ angegeben haben und nun doch wünschen, können Sie diesen nun eingeben.
    • Unter „External Requesters“ können Sie weitere E-Mail-Adressen angeben, die über die Erstellung, Verlängerung, Sperrung oder Löschung des Zertifikats informiert werden sollen. Mehrere Einträge bitte mit einem Komma trennen.
    • Unter „Comments“ tragen Sie bitte die Art des Servers ein (bspw. Webserver).
    • Wenn der Button „Auto Renew“ aktiviert wird, können Sie angeben, wie viele Tage Sie vor Ablauf des Zertifikats ein neues Zertifikat beantragen möchten. Diese Option verlängert das bisherige Zertifikat nicht! Sobald wir die erneute Beantragung übermittelt bekommen und genehmigen, bekommen Sie wieder eine E-Mail in der Sie das neue Zertifikat herunterladen können.
    • Sobald Sie den Antrag über „Submit“ abgeschickt haben, werden wir den Antrag prüfen und Ihnen antworten.

Zertifikatsformate

Wenn Sie die E-Mail vom Certificate Service Manager erhalten haben, können Sie das Zertifikat über die Links in verschiedenen Formaten in der E-Mail herunterladen. Folgend finden Sie eine kurze Zusammenfassung der verschiedenen Formate:

  • as Certificate only, PEM encoded:
    Enthält einzig das Server-Zertifikat im PEM-Format.
  • as Certificate (w/ issuer after), PEM encoded:
    Empfohlen für Apache/nginx
    Als erstes das Server-Zertifikat, dann das Issuing-CA-Zertifikat und dann weitere CA-Zertifikate der CA-Kette, allerdings nicht das Root-CA-Zertifikat im PEM-Format enthalten.
  • as Certificate (w/ chain), PEM encoded:
    Enthält das Root-CA-Zertifikat, sowie die Intermediate-CA-Zertifikate und als letztes das Server-Zertifikat im PEM-Format.
  • as PKCS#7:
    Empfohlen für MS Windows Server mit IIS
    Enthält eine binäre PKCS#7-Struktur, bestehend aus als erstes dem Server-Zertifikat, dann das Issuing-CA-Zertifikat und dann weitere CA-Zertifikate der CA-Kette und am Ende das Root-CA-Zertifikat.
  • as PKCS#7, PEM encoded:
    Enthält eine PKCS#7-Struktur im PEM-Format, bestehend aus als erstes dem Server-Zertifikat, dann das Issuing-CA-Zertifikat und dann weitere CA-Zertifikate der CA-Kette und am Ende das Root-CA-Zertifikat.
  • as Root/Intermediate(s) only, PEM encoded:
    Enthält die CA-Zertifikatkette (ohne das Server-Zertifikat) von der Root-CA (zuerst) bis zur Issuing-CA des Server-Zertifikats im PEM Format.
  • as Intermediate(s)/Root only, PEM encoded:
    Enthält die CA-Zertifikatkette (ohne das Server-Zertifikat) von der Issuing-CA des Server-Zertifikats (zuerst) bis hin zum Root-CA-Zertifikat im PEM Format.

FAQ

WebForm

Die Gültigkeit beträgt 365 Tage (1 Jahr).

Ja! Die erste Erinnerung bekommen Sie 30 Tage vor Ablauf Ihres Zertifikats. Die zweite Erinnerung erfolgt 14 Tage vor Ablauf Ihres Zertifikats.

Bitte beantragen Sie kein Zertifikat! Schicken Sie uns zunächst eine E-Mail mit dem Hinweis "Fehlender Account" und dem FQDN (bspw. server1.subdomain.uni-hohenheim.de) des zu zertifizierenden Servers an kim-pki@uni-hohenheim.de. Wir legen Ihnen einen Account an und informieren Sie über die Erstellung. Hiernach können Sie unter "Select Enrollment Account" Ihr Institut/Fachgebiet auswählen.

Bei der Erstellung des CSR über unser Script certificateapplication.sh (wie in unserer Anleitung unter "Voraussetzungen / Vorbereitungen" beschrieben), wird der Private Schlüssel üblicherweise in Ihrem Homeverzeichnis (CIFS) /home/[Anfangsbuchstabe des Benutzernamens]/[Benutzername]/[angegebener FQDN des Servers]/ gespeichert.
Sollten Sie das o.g. Script nicht verwendet haben und Ihren CSR und privaten Schlüssel selbst erzeugt haben, finden Sie den privaten Schlüssel in Ihrem selbst angegebenen Verzeichnis.

ACME

Wenn Sie folgende oder eine ähnliche Fehlermeldung erhalten, sind Sie nicht berechtigt ein Zertifikat für die genannte (Sub)Domain zu beziehen. Überprüfen Sie die genannte (Sub)Domain auf Rechtschreibfehler oder stellen Sie einen Antrag für die Domain über kim-pki@uni-hohenheim.de.

acme.messages.Error: urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: The identifiers are not all linked to the same preauthorized Subject organization name/address
2023-03-30 17:12:48,832:ERROR:certbot._internal.log:An unexpected error occurred:
2023-03-30 17:12:48,832:ERROR:certbot._internal.log:The identifiers are not all linked to the same preauthorized Subject organization name/address


Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular