Aktueller Hinweis
Hinweis zur Ausstellung von Serverzertifikaten ab Q1/2025
Der DFN hat im Dezember HARICA, einen griechischen Vertrauensdiensteanbieter, mit der Bereitstellung von Serverzertifikaten beauftragt. Das IZUS-TIK bereitet die Umstellung auf den neuen Anbieter aktuell vor und wird in den nächsten Wochen weitere Informationen und Anleitungen zur Verfügung stellen.
Eine Ausstellung von Serverzertifikaten über Sectigo ist ab dem 10.1.2025 nicht mehr möglich.
Fragen können Sie gerne an pki-support@tik.uni-stuttgart.de adressieren.
Ziehen Sie für Webserver, die von extern erreichbar sind, die Verwendung von https://letsencrypt.org (mit ACME) in Betracht.
Aktuelle Informationen zum Vorgang und weitere Empfehlungen veröffentlicht der DFN hier:
https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation
Funktionsumfang
Serverzertifikate ermöglichen SSL / TLS verschlüsselte Verbindungen mit Servern und somit z.B. die verschlüsselte Auslieferung einer Webseite mit https.
Diese Zertifikate können für Server beantragt werden, die zu einer Domäne der Universität Stuttgart gehören.
Nutzungsbedingungen
Für die Beantragung eines Serverzertifikates ist es erforderlich, dass Sie die Rolle Serverzertifikate-Administrator für Ihr Institut / Ihre Einrichtung im Admin-Portal haben. Die Rolle kann durch den Leiter / die Leiterin des Institutes / der Einrichtung beantragt werden.
Häufig gestellte Fragen
Nein, IP-Adressen werden weder im CN noch im SAN (subjectAlternativeName) von Sectigo unterstützt.
In manchen Fällen kann es sinnvoll sein, ein Zertifikat zu beantragen, das für mehrere FQDNs gleichzeitig gültig ist. In einem solchen Fall wird ein FQDN im CN des Zertifikats angegeben, die weiteren, einschließlich des im CN angegebenen FQDNs, können im Eintrag "subjectAlternativeName" angegeben werden.
Dies kann mit OpenSSL durchgeführt werden, indem die Konfigurationsdatei von OpenSSL (openssl.cnf) editiert wird und die folgenden Zeilen hinzugefügt werden:
[ req_exts ]
subjectAltName = @SUBJ
[SUBJ]
DNS.0=www.test.rus.uni-stuttgart.de
DNS.1=www1.test.rus.uni-stuttgart.de
DNS.2=www2.test.rus.uni-stuttgart.de
Beim Aufruf von OpenSSL muss anschließend noch durch -reqexts req_exts angegeben werden, dass die Erweiterungen genutzt werden sollen.
Im Web-Formular von Sectigo können auch nachträglich noch weitere FQDNs eingetragen werden.
Als Alternative zu GÉANT TCS (aktuell durch Sectigo bereitgestellt) ist auch die Verwendung von https://letsencrypt.org/ möglich.
Für Webserver, die von extern erreichbar sind, gibt es viele Anleitungen wie letsencrypt (mit ACME) aufgesetzt werden kann.
Für intern betriebene Server bzw. für andere Protokolle ist die Validierung über DNS notwendig; dies kann je nach Konfiguration aufwändiger sein.
Sowohl GÉANT TCS als auch letsencrypt können Zertifikate nur für DNS-Namen ausstellen, die der Antragssteller aus externer Sicht unter Kontrolle hat.
Die DFN-PKI mit dem bisherigen DFN-PKI Sicherheitsniveau „Global“wurde abgelöst durch GÉANT TCS.
Neue Serverzertifikate können ausschließlich über GÉANT TCS bezogen werden.
Aktuell wird dieser Dienst durch den Anbieter Sectigo bereitgestellt.