Mit Ablauf des 10. Januar 2025 hat der Dienstleister Sectigo die Ausstellung von Zertifikaten (Server-, Nutzer- und CodeSigning-Zertfikate) für alle GÉANT TCS-Kunden eingestellt. Dies betrifft eine Vielzahl von (Forschungs-) Einrichtungen in Europa, darunter zahlreiche in Deutschland, sowie auch die Universität Hohenheim.

Es gibt schon einen neuen Anbieter und wir haben entsprechende Vorbereitungen getroffen. Aktuell werden noch neue Funktionen implementiert. Sobald nutzerseitig wieder Server- oder Nutzerzertifikate beantragt und ausgestellt werden können, werden wir informieren und diese Webseite aktualisieren. In dringenden Fällen wenden Sie sich bitte per E-Mail an uns.

Wofür werden Serverzertifikate verwendet?

Serverzertifikate werden eingesetzt, um eine sichere Verbindung zwischen Server und PC zu ermöglichen, wenn z. B. sensible Daten über ein öffentliches Netz übertragen werden sollen. Das bekannteste Beispiel ist der Webserver. Sichere Verbindungen beginnen mit einem https und werden bei den Browsern in der Adresszeile besonders hervorgehoben.

!Bitte beachten! Wichtige Mitteilung der IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in Richtlinie TR-02102-2 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.html) nachdrücklich die Verwendung von SSL/TLS-Zertifikaten mit einer Schlüssellänge von mindestens 3072 Bit (höchstens jedoch 4096 Bit). Eine größere Schlüssellänge bietet ein höheres Maß an Sicherheit vor kryptographischen Angriffen.

Bitte prüfen Sie daher, ob Ihre derzeitigen SSL/TLS-Zertifikate (Serverzertifikate) eine ausreichend große Schlüssellänge aufweisen. Falls Sie Serverzertifikate mit kleinerer Schlüssellänge bisher verwenden, empfehlen wir die zeitnahe Migration zu Serverzertifikaten mit einer Schlüssellänge von mindestens 3072 Bit.

Bitte beachten Sie, dass hierbei auch der private Schlüssel ersetzt werden muss. Das Skript (certificateapplication.sh) auf login.uni-hohenheim.de wurde inzwischen auf eine Schlüssellänge von 4096 Bit angepasst.

FAQ

WebForm

Die Gültigkeit beträgt 365 Tage (1 Jahr).

Ja! Die erste Erinnerung bekommen Sie 30 Tage vor Ablauf Ihres Zertifikats. Die zweite Erinnerung erfolgt 14 Tage vor Ablauf Ihres Zertifikats.

Bitte beantragen Sie kein Zertifikat! Schicken Sie uns zunächst eine E-Mail mit dem Hinweis "Fehlender Account" und dem FQDN (bspw. server1.subdomain.uni-hohenheim.de) des zu zertifizierenden Servers an kim-pki@uni-hohenheim.de. Wir legen Ihnen einen Account an und informieren Sie über die Erstellung. Hiernach können Sie unter "Select Enrollment Account" Ihr Institut/Fachgebiet auswählen.

Bei der Erstellung des CSR über unser Script certificateapplication.sh (wie in unserer Anleitung unter "Voraussetzungen / Vorbereitungen" beschrieben), wird der Private Schlüssel üblicherweise in Ihrem Homeverzeichnis (CIFS) /home/[Anfangsbuchstabe des Benutzernamens]/[Benutzername]/[angegebener FQDN des Servers]/ gespeichert.
Sollten Sie das o.g. Script nicht verwendet haben und Ihren CSR und privaten Schlüssel selbst erzeugt haben, finden Sie den privaten Schlüssel in Ihrem selbst angegebenen Verzeichnis.

ACME

Wenn Sie folgende oder eine ähnliche Fehlermeldung erhalten, sind Sie nicht berechtigt ein Zertifikat für die genannte (Sub)Domain zu beziehen. Überprüfen Sie die genannte (Sub)Domain auf Rechtschreibfehler oder stellen Sie einen Antrag für die Domain über kim-pki@uni-hohenheim.de.

acme.messages.Error: urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: The identifiers are not all linked to the same preauthorized Subject organization name/address
2023-03-30 17:12:48,832:ERROR:certbot._internal.log:An unexpected error occurred:
2023-03-30 17:12:48,832:ERROR:certbot._internal.log:The identifiers are not all linked to the same preauthorized Subject organization name/address

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular

Haben Sie noch Fragen?

Schicken Sie uns eine E-Mail an

kim-pki@uni-hohenheim.de