Zertifikate in der DFN-PKI Global beantragen

Pflichten eines Zertifikatinhabers

Bevor Sie ein Zertifikat beantragen können, müssen Sie sich mit den Pflichten und Aufgaben vertraut machen, die Sie mit der Antrag und der Nutzung übernehmen:

Server-Zertifikate beantragen

Die "T-TeleSec GlobalRoot Class 2" ist in den aktuellen Versionen aller relevanten Betriebssysteme und Browser vorinstalliert. Leider gibt es mit Android <= 4.4 ein nicht mehr aktuelles, aber noch weit verbreitetes System, welches das neue Wurzelzertifikat nicht unterstützt.
Lesen Sie für die größtmögliche Abwärtskompatibilität mit dem "Deutschen Telekom Root CA 2" bis zum 9. Juli 2019 hier weiter.

Allgemeines und Ablauf im Überblick

Zertifikate für Server in den Instituten und Einrichtungen (den Organisationseinheiten) können von den uns bekannten, zuständigen Administratoren beantragt werden. Dazu benötigen Sie
  • eine funktionsfähige Installation von OpenSSL
  • einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format
  • den ausgedruckten und unterschriebenen Online-Antrag
  • die vollständig ausgefüllte Teilnehmer-Erklärung
  • einen Termin bei einer Registrierungsstelle der TUHH zur persönlichen Identifizierung (Personalausweis!)
Der genaue Ablauf wird im Nachfolgenden beschrieben.

OpenSSL

OpenSSL wird als fertiges Pakete bei den meisten Linux-Distributionen mitgeliefert. Sofern Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein Windows Installationspaket. OpenSSL ist ein Werkzeugkasten mit verschiedenen Programmen u.a. zur Verarbeitung und Erzeugung von elektronischen Zertifikatsanträgen und Zertifikaten. Alle OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche. Sie benötigen also auch unter Windows ein Kommandozeilen-Fenster (CMD.EXE).

PKCS#10-Zertifikatsantrag

Der elektronische Zertifikatsantrag, (engl. Certificate Signing Request, CSR), enthält folgende Informationen
  • Eine Zeichenkette, den so genannten Distinguished Name (DN), der den Server eindeutig identifiziert und einer Organisationseinheit der TUHH zuordnet. Beispiel

    C="DE", "ST=Hamburg", "L=Hamburg", "O="Technische Universitaet Hamburg", OU="Rechenzentrum", CN="www.tuhh.de"

    • Die TUHH CA kann nur Zertifikate mit C="DE", "ST=Hamburg", "L=Hamburg", O="Technische Universitaet Hamburg" ausstellen.
    • Mit OU (Organisational Unit) wird die Organisationseinheit bezeichnet, die den Server betreibt. Bei der Wahl der Zeichenkette für OU sind Sie nicht frei. Es sollte sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute und Kommata sollten nicht verwendet. Halten Sie ggf. vorher Rücksprache mit der TUHH CA.
    • CN ist der Common Name, d.h. für einen Server der vollständige DNS-Name (Fully Qualified Domain Name, FQDN). Jeder Webbrowser wird prüfen, ob der Common Name im präsentierten Zertifikat mit der aufgerufenen URL übereinstimmt. Andernfalls gibt es eine Zertifikatswarnung.
  • Den öffentlichen Schlüssel eines von Ihnen persönlich erzeugten Schlüsselpaares
Die inhaltliche Struktur für diesen elektronische Zertifikatsantrag ist als PKCS#10 genormt. Es gibt dann zwei Alternativen für das Dateiformat, nämlich ein binäres Format (DER) oder ein druckbares Format PEM. Im druckbaren PEM-Format lassen sich die Dateien in einem Editor ansehen und einfach per Mail versenden.

Wählen Sie zum Erzeugen des Zertifikatsantrages einen vertrauenswürdigen Computer, denn dabei wird ein Schlüsselpaar aus einem geheimen (private key) und einem öffentlichen (public key) Schlüssel erzeugt. Der geheime Schlüssel darf nicht in falsche Hände geraten!

Mit OpenSSL erzeugen Sie den Zertifikatsantrag mit nachfolgendem Befehl. Dabei muss der gesamte Befehl in einer Zeile stehen. Für die Übersichtlichkeit sind hier Zeilenumbrüche eingefügt. Am besten legen Sie sich eine Kommandodatei (Shell-Script, CMD/BAT-Datei) mit dem Befehl an (falls Sie sich vertippen).

openssl req 

  -batch 
  -sha256
  -newkey rsa:2048
  -passout pass:geheim
  -keyout private_key_enc.pem 
  -out csr.pem
  -subj "/C=DE/ST=Hamburg/L=Hamburg/O=Technische Universitaet Hamburg/OU=Name des Instituts/CN=FQDN-Hostname"

Zur Erklärung (siehe auch req man page): es bedeuten

  • openssl req ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
  • -batch bewirkt das Ausführen im nicht-interaktiven Modus.
  • -sha256 gibt die SHA-2 (256bit) Prüfsumme (fingerprint) des Zertifikatsantrags aus.
  • -newkey rsa:2048 erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren.
  • -passout pass:geheim sorgt dafür, dass der geheime Schlüssel mit dem Passwort geheim verschlüsselt wird. Bitte wählen Sie hier ein anderes, besseres Passwort. Allerdings hängt es später von der Konfiguration des Webservers ab, ob der geheime Schlüssel verschlüsselt bleiben kann. Wenn der geheime Schlüssel verschlüsselt vorliegt, dann kann der Webserver ohne manuelle Eingabe dieses Passwortes nicht mehr starten. Beim Neustart müsste also immer dieses Passwort eingegeben werden.
  • -keyout private_key_enc.pem speichert den geheimen Schlüssel (private key) verschlüsselt in der Datei mit Namen private_key.pem. Passen Sie gut auf diesen Schlüssel auf, denn Sie dürfen Ihn weder verlieren noch darf der Schlüssel in falsche Hände gelangen.
  • -out csr.pem legt den neuen Zertifikatsantrag PKCS#10 in der Datei csr.pem im PEM-Format ab.
  • -subj "/C=DE/ST=Hamburg/L=Hamburg/O=Techn…" gibt den Distinguished Name für den Server an. OU=... (OrganisationalUnit) ist die offizielle Bezeichnung Ihrer Organisationseinheit. FQDN-Hostname ist der vollständige Domainname des Servers (z.B. xyz.tu-harburg.de).

Falls Sie schon einen Schlüsselpaar besitzen, z.B. weil Sie das Zertifikat erneuern möchten, geben Sie ein:

openssl req

 -new
 -sha256
 -key xyz.tu-harburg.de.key
 -out xyz.tu-harburg.de.csr
 -subj "/C=DE/ST=Hamburg/L=Hamburg/O=Technische Universitaet Hamburg/OU=Name des Instituts/CN=FQDN-Hostname"
  • -new erzeugt einen neuen Zertifikatsantrag
  • -sha256 gibt die SHA-2 (256bit) Prüfsumme (fingerprint) des Zertifikatsantrags aus.
  • -key xyz.tu-harburg.de.key gibt den Dateinamen (z.B. xyz.tu-harburg.de.key) mit dem vorhandenen Schüsselpaar an
  • -out xyz.tu-harburg.de.csr legt den neuen Zertifikatsantrag in der Datei xyz.tu-harburg.de.csr im PEM-Format ab.
  • -subj "/C=DE/O=Techn…" gibt den Distinguished Name für den Server an. OrganisationalUnit ist die offizielle Bezeichnung Ihrer Organisationseinheit. FQDN-Hostname ist der vollständige Domainname des Servers (z.B. xyz.tu-harburg.de).

Wenn Sie den Zertifikatsantrag nochmal überprüfen möchten, können Sie sich den Zertifikatsantrag im Klartext anschauen mit dem Befehl:

    openssl req -in xyz.tu-harburg.de.csr -text -noout

Online-Antrag

Für den Online-Antrag benötigen Sie die zuvor erzeugte Datei csr.pem mit dem PKCS#10-Zertifikatsantrag im PEM-Format und einen Webbrowser. Stellen Sie sicher, dass in dem Webbrowser die neuen Wurzelzertifikate der DFN-PKI importiert worden sind. Sie dürfen auf keinen Fall bei Aufruf der Online-Schnittstelle zur TUHH CA eine Zertifikatswarnung erhalten.

Rufen Sie nun in Ihrem Webbrowser auf:

Einstiegsseite der TUHH CA - G2

Dort klicken Sie im Menü auf Beantragen eines Zertifikats und wählen Sie Serverzertifikat TUHH CA G2:Serverzertifikat.

Als nächstes sollte ein Online-Formular TUHH CA:Formular für Server erscheinen. Geben Sie dort Dateipfad und Namen der Datei mit dem Zertifikatsantrag, z.B. csr.pem an. Für Webserver wählen Sie das Profil Webserver. Unter den Nutzerangaben müssen die Daten vom Antragsteller eingegeben werden. An die Email-Adresse des Antragstellers, wird später das Zertifikat versendet. Notieren Sie sich Ihre PIN für den späteren Gebrauch. Lesen Sie die Zertifizierungsrichtlinie, damit Sie dieser zustimmen können. Stimmen Sie der Veröffentlichung des Serverzertifikats ggf. zu.

Wenn Sie mit Ihren Eingaben zufrieden sind, prüfen Sie bitte noch einmal alle Eingaben TUHH CA G2:Onlineantrag Zusammenfassung und schließen Sie den Online-Antrag ab TUHH CA G2:Onlineantrag ausdrucken. Drucken Sie dieses PDF-Dokument aus und füllen alle Formularfelder aus. Für die Teilnehmer-Erklärung benötigen Sie die Seriennummer dieses Online-Antrages. Die Nummer steht auf dem Deckblatt des PDF-Dokuments.

Vermerken Sie bitte auf dem Online-Antrag handschriftlich, wenn das Zertifikat zusätzlich auch für die Domain tuhh.de ausgestellt werden soll.

Teilnehmer-Erklärung

Füllen Sie nun die Teilnehmererklärung aus. Die Teilnehmer-Erklärung muss von Ihnen und dem Leiter der Organisationseinheit (Institut oder Einrichtung) unterschrieben werden.

Identifizierung bei der Registrierungsstelle

Der Antragsteller vereinbart einen Termin zur Identifizierung bei einer Registrierungsstelle und bringt dazu folgende Dokumente mit:
  • seinen gültiger Personalausweis
  • den ausgedruckten, ausgefüllten und unterschriebenen Online-Antrag
  • die ausgefüllte, unterschriebene und gestempelte Teilnehmer-Erklärung

Nach der Identifizierung und Überprüfung der Dokumente wird die Registrierungsstelle den Online-Antrag digital signieren. Daraufhin sollten Sie nach ein paar Stunden ihr Zertifikat per Email an die Adresse erhalten, die Sie im Online-Antrag angegeben haben.

Wie dann ihr SSL-Server (z.B. Webserver) konfiguriert werden muss, damit er das neue Zertifikat verwendet, ist abhängig von der konkreten Software. Wichtig ist vor allem, dass der Server auch die gesamte Zertifikatskette ausliefert, d.h. er liefert nicht nur sein eigenes Zertifikat sondern auch die Zertifikate aller übergeordneten Zertifizierungsinstanzen aus.

Für typische SSL-Server haben wir für Sie Konfigurationshinweise zusammengestellt:

Verwenden Sie in Ihrer Anwendung bitte die entsprechende Zertifikatskette zu Ihrem signierten Zertifikat, zu finden hinter der entsprechenden Einstiegsseite beim Online-Antrag unter "CA-Zertifikate".

Zertifikate unter dem Deutschen Telekom Root Wurzelzertifikat (läuft aus)

Zertifikate unter dem T-Telesec Global Root Class 2 Wurzelzertifikat

Benutzer-Zertifikate beantragen

Die TUHH CA stellt Zertifikate für Benutzer nur aus, wenn ein dringendes dienstliches Interesse besteht.