(Kurz-)Anleitung für Server-Zertifikate

1. Einleitung
2. Vorbereitung
3. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)
4. Beantragen des Zertifikates bei der UH-CA
5. Einpflegen von Zertifikat und privatem Schlüssel in den Server
6. Erläuterungen zu unterschiedlichen Servertypen

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht die Authentizität des Servers eindeutig nachzuvollziehen.

Wer kann sich zertifizieren lassen?
Die Certification Authority (CA) der Leibniz Universität Hannover bietet Administratoren, insbesondere von Einrichtungen der Leibniz Universität Hannover, die SSL-Zertifizierung von Servern an.

Lesen der Policy

SSL-Zertifikate werden von der UH-CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) ausgestellt. Bitte lesen Sie die Policy sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.

Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die CA übermittelt.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

• Zertifikate für Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten. Folgende Domainnamen sind zulässig:>>. Sollte von Ihrer Seite der Wunsch bestehen einen nicht in dieser Liste aufgeführten Domainnamen zu nutzen, wenden Sie sich bitte an die RA, die ggfs. diesen Namen neu registriert.
• Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
• Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten.
• Für Server im Bereich der UH-CA lautet der Name:

  c=DE, st=Niedersachsen,l=Hannover,

  o=Leibniz Universitaet Hannover,ou=<Institut/Einrichtung>,

  cn=<voller Rechnername>,email=<E-Mail-Adresse des Server-Admin>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

 Anleitung für die Request-Generierung mit OpenSSL

Der öffentliche PKI-Server der UH-CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Stellen Sie hier Ihren Antrag auf Zertifizierung und  übermitteln Sie die unter 3. erzeugte Request-Datei (server.req).

• -> öffentlicher PKI-Server

Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie sie persönlich bei der Registrierungsstelle (RA) der UH-CA vor. Bringen Sie zur persönlichen Identifizierung auch ein Ausweisdokument und ein Akkreditierungsschreiben->Formular Ihres Instituts mit, welches Sie als Server-Admin ausweist.

Terminabsprache telefonisch: 762-799042

E-Mail: uhca(at)ca.uni-hannover.de

Adresse: Leibniz Universität Hannover, IT-Services, z. Hd. Herrn Anft oder Frau Gersbeck-Schierholz, Schloßwenderstr. 5, 30167 Hannover

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die UH-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist.

Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitung für OpenSSL

Im Online-Antragsformular (Punkt 4, öffentlicher PKI Server) legen Sie über das Menü Zertifikatprofil den Einsatzzweck des Zertifkats fest. Die gelisteten Servertypen unterscheiden sich nur in den Attributen zur Kennzeichnung der Zertifikatverwendung ((extended) key usage). Wir stellen Ihnen mit dem Dokument Zertifikatprofile in der DFN PKI eine Auflistung der entsprechenden Zuordnungen zur Verfügung. Diese kann auch nützlich sein, wenn Sie den von Ihnen benötigten Servertyp nicht im Menü finden. Wählen Sie dann das Profil aus, welches den Attribut-Anforderungen Ihres Servers entspricht.