Deutsche Telekom Root CA 2

Das Deutsche Telekom Root CA 2 ist nur noch gültig bis zum 9. Juli 2019 23:59:00 Uhr GMT. Alle ausgestellten Zertifikate können keine längere Gültigkeit besitzen. Es gibt aber noch Fälle, in denen Zertifikate unter dem Deutsche Telekom Root CA 2 gebraucht werden können, z.B. ist das Nachfolger Wurzelzertifikat T-Telesec Global Root Class 2 nicht unter Android <= 4.4 (Kitkat) vorinstalliert. Für Dienste, die bis zum Ablauf des Deutsche Telekom Root CA 2 möglichst weit abwärts kompatibel sein sollen, können Zertifikate unter dem Deutsche Telekom Root CA 2 beantragt werden.

Im Folgenden werden nur die Unterschiede zum neuen T-Telesec Global Root Class 2  Wurzelzertifikat aufgelistet. Das Vorgehen beim Beantragen von Zertifikaten kann unter Beachtung der hier genannten Unterschiede durchgegangen werden.

TUHH CA – Zertifizierungsinstanz in der DFN-PKI

Die TUHH beteiligt sich mit einer eigenen Zertifizierungsstelle (Zertifizierungsinstanz) (kurz: TUHH CA) an der DFN-PKI Hierarchie. Die TUHH CA wird durch den DFN-Verein betrieben.

Die TUHH CA dient primär für die Ausstellung von Server-Zertifikaten. Viele Dienste im Rechenzentrum, wie z.B. das Mailsystem und unsere Webserver nutzen solche Server-Zertifikate. User Zertifikate werden nur in besonderen Einzelfällen ausgestellt.

Neue Zertifikate werden unter dem Sicherheitniveau Global ausgestellt. Dadurch sollte in der Regel in allen Anwendungen die Notwendigkeit entfallen, Wurzelzertifikate manuell zu importieren. Das manuelle Importieren des Wurzelzertifikats sollte nur noch in Einzelfällen nötg sein.

Der Hashalgorithmus SHA-1 wird mittlerweile nicht mehr als sicher betrachtet. Microsoft-Produkte werden ab Anfang 2017 Zertifikate mit SHA-1 nicht mehr als gültig erkennen. Bis Ende 2016 müssen daher alle Zertifikate gegen SHA-2 signierte Zertifikate ausgetauscht werden. Siehe Fragen und Antworten zur Umstellung von SHA-1 auf SHA-2 in der DFN-PKI.

Google Chrome wird ab November 2014 bei Verbindungen mit Webservern, die noch kein SHA-2 signiertes Zertifikat haben, warnen. Siehe DFN PKI Blog: Google Chrome und SHA-1 Zertifikate.

Registrierungsstellen der TUHH CA

Zur Zeit gibt es eine Registrierungsstelle (Registration Authority, RA)

Technische Universität Hamburg-Harburg
Schwarzenbergstraße 95
Rechenzentrum - Gebäude SBS95e
Herr Peter Köster (Raum 2069, Tel. -3673, p.koester(at)tuhh.de)
Herr Alexander Wawrzyn (Raum 2078, Tel. -3210, wawrzyn(at)tuhh.de)

Identifizierung nur nach vorheriger Terminabsprache!

Zertifikate in der DFN-PKI Global beantragen

Folgen Sie den Schritten unter Beantragen von Zertifikaten.

Rufen Sie diese Einstiegsseite für Ihren Onlineantrag auf: 

Einstiegsseite der TUHH CA

Dort klicken Sie im Menü auf Beantragen eines Zertifikats TUHH CA:Einstiegsseite und wählen Sie Zertifikatantrag für Server TUHH CA:Zertifikatantrag für Server.

Als nächstes sollte ein Online-Formular TUHH CA:Formular für Server erscheinen. Geben Sie dort Dateipfad und Namen der Datei mit dem Zertifikatantrag, z.B. csr.pem an. Für Webserver wählen Sie das Profil Webserver. Unter den Nutzerangaben müssen die Daten vom Antragsteller eingegeben werden. An die Email-Adresse des Antragstellers, wird später das Zertifikat versendet. Notieren Sie sich Ihre PIN für den späteren Gebrauch. Lesen Sie die Zertifizierungsrichtlinie, damit Sie dieser zustimmen können. Stimmen Sie der Veröffentlichung des Serverzertifikats ggf. zu.

Wenn Sie mit Ihren Eingaben zufrieden sind, erscheint schließlich der Online-Antrag TUHH CA:Onlineantrag ausdrucken. Drucken Sie dieses Formular aus und füllen die Felder aus. Für die Teilnehmer-Erklärung benötigen Sie die Seriennummer dieses Online-Antrages.

Vermerken Sie bitte auf dem Online-Antrag handschriftlich, wenn das Zertifikat zusätzlich auch für die Domain tuhh.de ausgestellt werden soll.

Verwenden Sie in Ihrer Anwendung bitte die entsprechende Zertifikatskette zu Ihrem signierten Zertifikat, zu finden hinter der entsprechenden Einstiegsseite beim Online-Antrag unter "CA-Zertifikate".

Einstiegsseite für Zertifikate unter dem Deutschen Telekom Root Wurzelzertifikat

Einstiegsseite für Zertifikate unter dem T-Telesec Global Root Class 2 Wurzelzertifikat

Wurzelzertifikat der DFN-PKI Global importieren

In der Regel sollte es nicht nötig sein das Wurzelzertifikat der Deutschen Telekom in neueren Web-Browsern zu importieren. In einigen älteren Anwendungsprogrammen (insbesondere ältere Versionen von Firefox, SeaMonkey oder Thunderbird) kann es erforderlich sein, dass Sie das Wurzelzertifikats Deutsche Telekom Root CA 2 manuell importieren, damit Zertifikate der TUHH CA als gültig erkannt werden.

Weitere Hinweise zum Importieren in Firefox und Thunderbird finden Sie unten.

Importieren: Deutsche Telekom Root CA 2
(Wurzelzertifikat der DFN-PKI Global)

SHA1 Prüfsumme: 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
Weitere Informationen zu dem Wurzelzertifikat Deutsche Telekom Root CA 2 auf den Seiten der DFN-PKI

Alle Zertifikate der DFN-PKI Global sind unterhalb des Wurzelzertifikates Deutsche Telekom Root CA 2 angeordnet. Die Deutsche Telekom Root CA 2 wird betrieben von T-TeleSec dem Trust Center der Deutschen Telekom. Dadurch ergibt sich eine vierstufige Zertifikatskette wie in der nachfolgenden Abbildung.

Hierarchie nach der Global Policy der DFN-PCA

Weitere Informationen zum CA Zertifikat DFN-Verein PCA Global - G01 finden Sie auf den Webseiten der DFN PCA.

Die Zertifikate der TUHH CA

Wie man der Abbildung oben entnehmen kann, ist das Zertifikat der TUHH CA in der Zertifikatskette ein Bindeglied zwischen dem Wurzelzertifikat DFN-Verein PCA Global - G01 und dem Zertifikat des Webservers. Um die Zertifikatskette überprüfen zu können, müssen die Anwendungsprogramme also auch das Zertifikat der TUHH CA kennen. In der Regel sollten alle Server aber so konfiguriert sein, dass bei jeder Anfrage die gesamte Zertifikatskette (also auch das Zertifikat der TUHH CA) ausgeliefert wird.

Wenn ein SSL-Server richtig konfiguriert ist, sollte es nie nötig sein, das Zertifikat der TUHH CA importieren zu müssen um Zertifikatswarnungen zu vermeiden.

Zur Kontrolle und für Server-Administratoren (die das Zertifikat zur Konfiguration ihres SSL-Servers benötigen) finden Sie hier die TUHH CA Zertifikate :

  • für Zertifikate mit SHA-1: TUHH CA in DFN-PKI Global - G01 DER und PEM
    (SHA1 Prüfsumme: 63:0B:86:1F:86:6A:8B:4A:1A:D9:B2:83:67:32:48:C7:0C:D1:DC:D1)
  • für Zertifikate mit SHA-2 (sha256): TUHH CA in DFN-PKI Global - G01 DER und PEM
    (SHA1 Prüfsumme: D9:B0:BA:3C:8B:66:41:F3:A8:59:09:9B:89:AB:96:85:1A:A6:CC:1A)
    (SHA-256 Prüfsumme:
    FE:A8:37:4F:A0:D2:A4:CD:E9:69:06:20:92:42:CF:0C:E6:F7:4B:39:D1:E6:7B:04:D5:22:2F:9A:F1:8D:C4:7C)

Weitere Informationen zu den Zertifikate der TUHH CA auf den Seiten der DFN-PKI

Warum wird bei Zertifikaten von einer Hierarchie/Kette gesprochen?

Damit ein Zertifikat überprüft werden kann, enthält dieses eine Verweis auf das Zertifikat der Zertifizierungsstelle, die das Zertifikat ausgestellt hat. Technisch gesprochen handelt es sich bei diesen Verweisen um eine digitale Signatur (Unterschrift) der Zertifizierungsstelle. Die Anwendungsprogramme können mit dem Zertifikat der Zertifizierungsstelle die Gültigkeit eines Zertifikates zu überprüfen.

Aus technischen oder organisatorischen Gründen, kann es sein, dass das Zertifikat einer Zertifizierungsinstanz seinerseits wieder einen Verweis auf ein Zertifikat einer übergeordneten Zertifizierungsinstanz enthält.

Auf diese Weise hat man eine Kette oder eine Hierarchie von Zertifikaten, die überprüft werden müssen, um die Gültigkeit eines Zertifikats zu überprüfen. Siehe dazu auch nachfolgende Abbildungen: Zertifikatskette Classic

Zertifikatskette Sicherheitsniveau Classic
(Zum Vergrößern/Verkleinern bitte das Bild anklicken)

Zertifikatskette Global

Zertifikatskette Sicherheitsniveau Global
(Zum Vergrößern/Verkleinern bitte das Bild anklicken)