(Kurz-)Anleitung für Server-Zertifikate

Einleitung
Vorbereitung
Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)
Beantragen des Zertifikates bei der UH-CA
Einpflegen von Zertifikat und privatem Schlüssel in den Server
Erläuterungen zu unterschiedlichen Servertypen

1. Einleitung

Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht die Authentizität des Servers eindeutig nachzuvollziehen.

Wer kann sich zertifizieren lassen?
Die Certification Authority (CA) der Leibniz Universität Hannover bietet Administratoren, insbesondere von Einrichtungen der Leibniz Universität Hannover, die SSL-Zertifizierung von Servern an.

2. Vorbereitung

Lesen der Policy

SSL-Zertifikate werden von der UH-CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) ausgestellt. Bitte lesen Sie die Policy sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.

3. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)

Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die CA übermittelt.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

Zertifikate für Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten. Folgende Domainnamen sind zulässig:>>. Sollte von Ihrer Seite der Wunsch bestehen einen nicht in dieser Liste aufgeführten Domainnamen zu nutzen, wenden Sie sich bitte an die RA, die ggfs. diesen Namen neu registriert.
Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten.

Für Server im Bereich der UH-CA lautet der Name:

c=DE, st=Niedersachsen,l=Hannover,

o=Leibniz Universitaet Hannover,ou=<Institut/Einrichtung>,

cn=<voller Rechnername>,email=<E-Mail-Adresse des Server-Admin>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

Anleitung für die Request-Generierung mit OpenSSL

4. Beantragen des Zertifikates bei der UH-CA

Der öffentliche PKI-Server der UH-CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Stellen Sie hier Ihren Antrag auf Zertifizierung und übermitteln Sie die unter 3. erzeugte Request-Datei (server.req).

-> öffentlicher PKI-Server

Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie sie persönlich bei der Registrierungsstelle (RA) der UH-CA vor. Bringen Sie zur persönlichen Identifizierung auch ein Ausweisdokument und ein Akkreditierungsschreiben ->Formular Ihres Instituts mit, welches Sie als Server-Admin ausweist.

Terminabsprache telefonisch: 762-799042

E-Mail: uhca(at)ca.uni-hannover.de

Adresse: Leibniz Universität Hannover, IT-Services, z. Hd. Herrn Anft oder Frau Gersbeck-Schierholz, Schloßwenderstr. 5, 30167 Hannover

5. Einpflegen von Zertifikat und privatem Schlüssel in den Server

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die UH-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist.

Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates.

Anleitung für OpenSSL

6. Erläuterungen zu unterschiedlichen Servertypen

Im Online-Antragsformular (Punkt 4, öffentlicher PKI Server) legen Sie über das Menü Zertifikatprofil den Einsatzzweck des Zertifkats fest. Die gelisteten Servertypen unterscheiden sich nur in den Attributen zur Kennzeichnung der Zertifikatverwendung ((extended) key usage). Wir stellen Ihnen mit dem Dokument DFN-PKI-Zertifikatvorlagen eine Auflistung der entsprechenden Zuordnungen zur Verfügung. Diese kann auch nützlich sein, wenn Sie den von Ihnen benötigten Servertyp nicht im Menü finden. Wählen Sie dann das Profil aus, welches den Attribut-Anforderungen Ihres Servers entspricht.

	IT-Sicherheit > Zertifizierung (UH-CA) > Serverzertifikate
RRZN Organisation IT-Support Forschung und Lehre E-Mail Internet Backup und Archiv IT-Sicherheit Ernstfall Antivirensoftware Firewall Risiken & Maßnahmen Zertifizierung (UH-CA) Firefox3 Warnmeldung LUH-Regelungen Dokumente & Links Hochleistungsrechnen Clustersystem Software RRZN-Handbücher Kurse Leibniz Universität Hannover	(Kurz-)Anleitung für Server-Zertifikate Einleitung Vorbereitung Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR) Beantragen des Zertifikates bei der UH-CA Einpflegen von Zertifikat und privatem Schlüssel in den Server Erläuterungen zu unterschiedlichen Servertypen 1. Einleitung Mit einem Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Dadurch wird es Ihren Benutzern ermöglicht die Authentizität des Servers eindeutig nachzuvollziehen. Wer kann sich zertifizieren lassen? Die Certification Authority (CA) der Leibniz Universität Hannover bietet Administratoren, insbesondere von Einrichtungen der Leibniz Universität Hannover, die SSL-Zertifizierung von Servern an. 2. Vorbereitung Lesen der Policy SSL-Zertifikate werden von der UH-CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) ausgestellt. Bitte lesen Sie die Policy sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate. 3. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR) Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die CA übermittelt. Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten: Zertifikate für Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten. Folgende Domainnamen sind zulässig:>>. Sollte von Ihrer Seite der Wunsch bestehen einen nicht in dieser Liste aufgeführten Domainnamen zu nutzen, wenden Sie sich bitte an die RA, die ggfs. diesen Namen neu registriert. Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten. Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten. Für Server im Bereich der UH-CA lautet der Name: c=DE, st=Niedersachsen,l=Hannover, o=Leibniz Universitaet Hannover,ou=<Institut/Einrichtung>, cn=<voller Rechnername>,email=<E-Mail-Adresse des Server-Admin> Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags. Anleitung für die Request-Generierung mit OpenSSL 4. Beantragen des Zertifikates bei der UH-CA Der öffentliche PKI-Server der UH-CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Stellen Sie hier Ihren Antrag auf Zertifizierung und übermitteln Sie die unter 3. erzeugte Request-Datei (server.req). -> öffentlicher PKI-Server Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie sie persönlich bei der Registrierungsstelle (RA) der UH-CA vor. Bringen Sie zur persönlichen Identifizierung auch ein Ausweisdokument und ein Akkreditierungsschreiben ->Formular Ihres Instituts mit, welches Sie als Server-Admin ausweist. Terminabsprache telefonisch: 762-799042 E-Mail: uhca(at)ca.uni-hannover.de Adresse: Leibniz Universität Hannover, IT-Services, z. Hd. Herrn Anft oder Frau Gersbeck-Schierholz, Schloßwenderstr. 5, 30167 Hannover 5. Einpflegen von Zertifikat und privatem Schlüssel in den Server Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die UH-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist. Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden. Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates. Anleitung für OpenSSL 6. Erläuterungen zu unterschiedlichen Servertypen Im Online-Antragsformular (Punkt 4, öffentlicher PKI Server) legen Sie über das Menü Zertifikatprofil den Einsatzzweck des Zertifkats fest. Die gelisteten Servertypen unterscheiden sich nur in den Attributen zur Kennzeichnung der Zertifikatverwendung ((extended) key usage). Wir stellen Ihnen mit dem Dokument DFN-PKI-Zertifikatvorlagen eine Auflistung der entsprechenden Zuordnungen zur Verfügung. Diese kann auch nützlich sein, wenn Sie den von Ihnen benötigten Servertyp nicht im Menü finden. Wählen Sie dann das Profil aus, welches den Attribut-Anforderungen Ihres Servers entspricht.
	Top Druckversion Letzte Änderung: 14.09.2012 Birgit Gersbeck-Schierholz

	© Leibniz Universität Hannover Impressum Verantwortlich RRZN