Service for employees

Server Certificates

Certificates for servers in the institutions and facilities of the Universität Stuttgart can be applied for via the web interface.

Important notice

Information on issuing server certificates starting Q1/2025

Due to the contractual situation, there will expectably be changes to the issuance of server certificates starting in January 2025. Please renew your required server certificates in time or consider using https://letsencrypt.org (with ACME) for web servers that are externally accessible.

The DFN publishes the latest information on the process and further recommendations here:
https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation

Scope of functions

Certification of the servers by the Uni Stuttgart CA
SSL / TLS encrypted connection of servers

Terms of use

The participant declaration must be completed and signed by you and the head of the organisational unit (institute or institution).
Identify yourself by presenting your identity card to the registration office in Allmandring 30a. Please make an appointment with the support team by phone or e-mail.

Forms

Create certificate
Web-Request
Declaration of participants (german)
Schriftlich-Request

Support

Documentation (german)

Frequently asked questions

Kann eine IP-Adresse als CN im Zertifikat angegeben werden?

Nein, IP-Adressen werden weder im CN noch im SAN (subjectAlternativeName) von Sectigo unterstützt.

Das Zertifikat soll für mehrere FQDNs gelten.

In manchen Fällen kann es sinnvoll sein, ein Zertifikat zu beantragen, das für mehrere FQDNs gleichzeitig gültig ist. In einem solchen Fall wird ein FQDN im CN des Zertifikats angegeben, die weiteren, einschließlich des im CN angegebenen FQDNs, können im Eintrag "subjectAlternativeName" angegeben werden.
Dies kann mit OpenSSL durchgeführt werden, indem die Konfigurationsdatei von OpenSSL (openssl.cnf) editiert wird und die folgenden Zeilen hinzugefügt werden:
[ req_exts ]
subjectAltName = @SUBJ

[SUBJ]
DNS.0=www.test.rus.uni-stuttgart.de
DNS.1=www1.test.rus.uni-stuttgart.de
DNS.2=www2.test.rus.uni-stuttgart.de

Beim Aufruf von OpenSSL muss anschließend noch durch -reqexts req_exts angegeben werden, dass die Erweiterungen genutzt werden sollen.

Im Web-Formular von Sectigo können auch nachträglich noch weitere FQDNs eingetragen werden.

Welche Alternativen zu Géant TCS gibt es?

Als Alternative zu GÉANT TCS (aktuell durch Sectigo bereitgestellt) ist auch die Verwendung von https://letsencrypt.org/ möglich.

Für Webserver, die von extern erreichbar sind, gibt es viele Anleitungen wie letsencrypt (mit ACME) aufgesetzt werden kann.
Für intern betriebene Server bzw. für andere Protokolle ist die Validierung über DNS notwendig; dies kann je nach Konfiguration aufwändiger sein.
Sowohl GÉANT TCS als auch letsencrypt können Zertifikate nur für DNS-Namen ausstellen, die der Antragssteller aus externer Sicht unter Kontrolle hat.

Warum gibt es keine Online-Beantragung mehr beim DFN?

Die DFN-PKI mit dem bisherigen DFN-PKI Sicherheitsniveau „Global“wurde abgelöst durch GÉANT TCS.
Neue Serverzertifikate können ausschließlich über GÉANT TCS bezogen werden.

Aktuell wird dieser Dienst durch den Anbieter Sectigo bereitgestellt.

All FAQs