Wofür werden Serverzertifikate verwendet?

Serverzertifikate werden eingesetzt, um eine sichere Verbindung zwischen Server und PC zu ermöglichen, wenn z. B. sensible Daten über ein öffentliches Netz übertragen werden sollen. Das bekannteste Beispiel ist der Webserver. Sichere Verbindungen beginnen mit einem https und werden bei den Browsern in der Adresszeile besonders hervorgehoben.

!Bitte beachten! Wichtige Mitteilung der IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in Richtlinie TR-02102-2 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.html) nachdrücklich die Verwendung von SSL/TLS-Zertifikaten mit einer Schlüssellänge von mindestens 3072 Bit (höchstens jedoch 4096 Bit). Eine größere Schlüssellänge bietet ein höheres Maß an Sicherheit vor kryptographischen Angriffen.

Bitte prüfen Sie daher, ob Ihre derzeitigen SSL/TLS-Zertifikate (Serverzertifikate) eine ausreichend große Schlüssellänge aufweisen. Falls Sie Serverzertifikate mit kleinerer Schlüssellänge bisher verwenden, empfehlen wir die zeitnahe Migration zu Serverzertifikaten mit einer Schlüssellänge von mindestens 3072 Bit.

Bitte beachten Sie, dass hierbei auch der private Schlüssel ersetzt werden muss. Das Skript (certificateapplication.sh) auf login.uni-hohenheim.de wurde inzwischen auf eine Schlüssellänge von 4096 Bit angepasst.

Serverzertifikat per Webformular beantragen

Über ein Webformular können Serverzertifikate bezogen werden.
Leider ist über diese Methode keine automatisierte Verlängerung des Zertifikates möglich. Daher müssen Sie diese manuell durchführen.

Voraussetzungen / Vorbereitungen

Hohenheimer Benutzerkonto (für die Anmeldung über unseren IDP)
Zuordnung des Hohenheimer Benutzerkontos zu einer Einrichtung. Dies muss nur einmal vorgenommen werden. Bitte wenden Sie sich per E-Mail an kim-pki@uni-hohenheim.de und teilen uns neben Ihrer Nutzerkennung auch die Subdomain mit, die Ihre Einrichtung nutzt.
Der FQDN für den Server steht fest (z. B. servername.[subdomain.]uni-hohenheim.de) und ist im DNS registriert.
[Falls noch nicht geschehen, bitte unter kim-dns@uni-hohenheim.de eine IP-Adresse und DNS-Namen beantragen.]
Im Formular wird der CSR des Servers abgefragt. Bitte bereiten Sie diesen vor.

Für die einfache Erstellung eines Zertifikatsantrages stellen wir ein Skript bereit, welches Sie durch den Prozess leitet. Sie können es verwenden indem Sie sich per ssh mit Ihrem Hohenheimer Benutzerkonto auf login.uni-hohenheim.de einloggen und das Skript dort starten:

user@login1:~> certificateapplication.sh

Vorgehensweise

Wenn Sie die o.g. Voraussetzungen erfüllen und alle Vorbereitungen getroffen haben, rufen Sie in Ihrem Browser folgende URL auf und wählen unter „Your Institution“ „University of Hohenheim – uni-hohenheim.de“ aus:
https://cert-manager.com/customer/DFN/ssl/hoh-servercertificate
Authentifizieren Sie sich mit Ihrem Hohenheimer Benutzernamen und dem zugehörigen Passwort.
Wählen Sie nun im unteren Bereich unter „Select Enrollment Account“ den für Sie mit der passenden Einrichtung versehenen Eintrag „Universität Hohenheim – [Einrichtungsname] (Server Certificate)“.
Sollten Sie sich nicht direkt in dieser Enrollment-Ansicht befinden, sondern in der Ansicht „Certificate List“, wählen Sie bitte den grünen Button „Enroll Certificate“ im rechten oberen Eck.
Füllen Sie nun alle erforderlichen Felder aus.

Certificate Profile & Certificate Term ist nicht abzuändern!
Unter dem Button „Upload CSR“ oder über Copy & Paste im darunterliegenden Feld können Sie den CSR einfügen.
Sollten Sie bei Erstellung des CSR noch keinen „Subject Alternative Name“ angegeben haben und nun doch wünschen, können Sie diesen nun eingeben.
Unter „External Requesters“ können Sie weitere E-Mail-Adressen angeben, die über die Erstellung, Verlängerung, Sperrung oder Löschung des Zertifikats informiert werden sollen. Mehrere Einträge bitte mit einem Komma trennen.
Unter „Comments“ tragen Sie bitte die Art des Servers ein (bspw. Webserver).
Wenn der Button „Auto Renew“ aktiviert wird, können Sie angeben, wie viele Tage Sie vor Ablauf des Zertifikats ein neues Zertifikat beantragen möchten. Diese Option verlängert das bisherige Zertifikat nicht! Sobald wir die erneute Beantragung übermittelt bekommen und genehmigen, bekommen Sie wieder eine E-Mail in der Sie das neue Zertifikat herunterladen können.
Sobald Sie den Antrag über „Submit“ abgeschickt haben, werden wir den Antrag prüfen und Ihnen antworten.

Zertifikatsformate

Wenn Sie die E-Mail vom Certificate Service Manager erhalten haben, können Sie das Zertifikat über die Links in verschiedenen Formaten in der E-Mail herunterladen. Folgend finden Sie eine kurze Zusammenfassung der verschiedenen Formate:

as Certificate only, PEM encoded:
Enthält einzig das Server-Zertifikat im PEM-Format.
as Certificate (w/ issuer after), PEM encoded:
Empfohlen für Apache/nginx
Als erstes das Server-Zertifikat, dann das Issuing-CA-Zertifikat und dann weitere CA-Zertifikate der CA-Kette, allerdings nicht das Root-CA-Zertifikat im PEM-Format enthalten.
as Certificate (w/ chain), PEM encoded:
Enthält das Root-CA-Zertifikat, sowie die Intermediate-CA-Zertifikate und als letztes das Server-Zertifikat im PEM-Format.
as PKCS#7:
Empfohlen für MS Windows Server mit IIS
Enthält eine binäre PKCS#7-Struktur, bestehend aus als erstes dem Server-Zertifikat, dann das Issuing-CA-Zertifikat und dann weitere CA-Zertifikate der CA-Kette und am Ende das Root-CA-Zertifikat.
as PKCS#7, PEM encoded:
Enthält eine PKCS#7-Struktur im PEM-Format, bestehend aus als erstes dem Server-Zertifikat, dann das Issuing-CA-Zertifikat und dann weitere CA-Zertifikate der CA-Kette und am Ende das Root-CA-Zertifikat.
as Root/Intermediate(s) only, PEM encoded:
Enthält die CA-Zertifikatkette (ohne das Server-Zertifikat) von der Root-CA (zuerst) bis zur Issuing-CA des Server-Zertifikats im PEM Format.
as Intermediate(s)/Root only, PEM encoded:
Enthält die CA-Zertifikatkette (ohne das Server-Zertifikat) von der Issuing-CA des Server-Zertifikats (zuerst) bis hin zum Root-CA-Zertifikat im PEM Format.

WebForm

Wie lange ist mein SSL-Zertifikat gültig?

Die Gültigkeit beträgt 365 Tage (1 Jahr).

Bekomme ich eine Erinnerung über den Ablauf meines Zertifikats?

Ja! Die erste Erinnerung bekommen Sie 30 Tage vor Ablauf Ihres Zertifikats. Die zweite Erinnerung erfolgt 14 Tage vor Ablauf Ihres Zertifikats.

Im Webformular unter "Select Enrollment Account" ist mein Institut/Fachgebiet nicht gelistet!

Bitte beantragen Sie kein Zertifikat! Schicken Sie uns zunächst eine E-Mail mit dem Hinweis "Fehlender Account" und dem FQDN (bspw. server1.subdomain.uni-hohenheim.de) des zu zertifizierenden Servers an kim-pki@uni-hohenheim.de. Wir legen Ihnen einen Account an und informieren Sie über die Erstellung. Hiernach können Sie unter "Select Enrollment Account" Ihr Institut/Fachgebiet auswählen.

Wo finde ich den privaten Schlüssel zu meinem Zertifikat?

Bei der Erstellung des CSR über unser Script certificateapplication.sh (wie in unserer Anleitung unter "Voraussetzungen / Vorbereitungen" beschrieben), wird der Private Schlüssel üblicherweise in Ihrem Homeverzeichnis (CIFS) /home/[Anfangsbuchstabe des Benutzernamens]/[Benutzername]/[angegebener FQDN des Servers]/ gespeichert.
Sollten Sie das o.g. Script nicht verwendet haben und Ihren CSR und privaten Schlüssel selbst erzeugt haben, finden Sie den privaten Schlüssel in Ihrem selbst angegebenen Verzeichnis.

ACME

Fehlermeldung bei fehlenden Berechtigungen für (Sub)Domains:

Wenn Sie folgende oder eine ähnliche Fehlermeldung erhalten, sind Sie nicht berechtigt ein Zertifikat für die genannte (Sub)Domain zu beziehen. Überprüfen Sie die genannte (Sub)Domain auf Rechtschreibfehler oder stellen Sie einen Antrag für die Domain über kim-pki@uni-hohenheim.de.

acme.messages.Error: urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: The identifiers are not all linked to the same preauthorized Subject organization name/address
2023-03-30 17:12:48,832:ERROR:certbot._internal.log:An unexpected error occurred:
2023-03-30 17:12:48,832:ERROR:certbot._internal.log:The identifiers are not all linked to the same preauthorized Subject organization name/address

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular