Serverzertifikat beantragen

Anleitung und Dokumentation zu

Hier finden Sie alle Informationen zum Erstellen von Serverzertifikaten.

Übersicht

Im Anleitungsbereich finden Sie alle Handzettel, Benutzerhandbücher und Dokumentationen zum Dienst.

Beantragung von Serverzertifikaten

Zertifikate für Server in den Institutionen und Einrichtungen der Universität Stuttgart können über die Webschnittstelle von Harica beantragt werden.

Voraussetzungen

  • Sie sind für ihr Institut oder ihre Einrichtung berechtigt, Serverzertifikate zu beantragen und haben im Adminportal die Rolle Serverzertifikate-Administrator.
  • Zur Antragerstellung und Schlüsselerzeugung benötigen Sie OpenSSL.
  • Sie haben mit OpenSSL (siehe unten - OpenSSL) einen Zertifikatsantrag (CSR) im pem-Format erstellt (siehe unten - PKCS#10-Zertifikatantrag).

OpenSSL ist ein Werkzeugkasten mit verschiedenen Programmen u.a. zur Verarbeitung und Erzeugung von elektronischen Zertifikatsanträgen und Zertifikaten. OpenSSL wird als fertiges Paket bei den meisten Linux-Distributionen mitgeliefert.

Sofern Sie ein Windows-Betriebssystem nutzen, können Sie OpenSSL auch in PowerShell oder dem Windows-Subsystem für Linux installieren und dann verwenden.

Der elektronische Zertifikatsantrag enthält folgende Informationen:

  • Den Distinguished Name, eine Zeichenkette, die den Server eindeutig identifiziert und einer Organisationseinheit der Universität Stuttgart zuordnet.
  • Den öffentlichen Schlüssel des von Ihnen erzeugten Schlüsselpaares.

Gemäß der Zertifizierungsrichtlinie kann die CA der Universität Stuttgart nur Zertifikate mit dem Eintrag "C=DE, L=Stuttgart, O=Universitaet Stuttgart" oder "C=DE, ST=Baden-Wuerttemberg, L=Stuttgart, O=Universitaet Stuttgart" ausstellen. Als OU-Eintrag sollten Sie das Kürzel Ihrer Einrichtung verwenden. Der Eintrag "CN" ist der Common Name des Servers, d.h. der DNS-Name. Webbrowser überprüfen, ob die angegebene URL mit dem im Zertifikat präsentierten Namen übereinstimmt. Umlaute und Kommata sollten nicht verwendet werden. Halten Sie ggf. vorher Rücksprache mit dem PKI-Team der Universität Stuttgart.

Die inhaltliche Struktur für diesen elektronischen Zertifikatsantrag ist als PKCS#10 genormt. Es gibt dann zwei Alternativen für das Dateiformat, nämlich ein binäres Format (DER) oder ein druckbares Format PEM. Im druckbaren PEM-Format lassen sich die Dateien in einem Editor ansehen und einfach per Mail versenden.

Wählen Sie zum Erzeugen des Zertifikatsantrages einen vertrauenswürdigen Computer, denn dabei wird ein Schlüsselpaar aus einem geheimen (private key) und einem öffentlichen (public key) Schlüssel erzeugt. Der geheime Schlüssel darf nicht in falsche Hände geraten!

Mit OpenSSL erzeugen Sie den Zertifikatsantrag mit nachfolgendem Befehl. Dabei muss der gesamte Befehl in einer Zeile stehen. Für die Übersichtlichkeit sind hier Zeilenumbrüche eingefügt. Diese Zeilenumbrüche müssen entfernt werden, wenn Sie dieses Beispiel als Vorlage für Ihren Zertifikatsantrag benutzen. Am besten legen Sie sich eine Kommandodatei (Shell-Script, CMD/BAT-Datei) mit dem Befehl an (falls Sie sich vertippen).

Verwenden Sie ein sicheres Passwort, heben Sie das Passwort sicher auf und löschen Sie es aus der Beispieldatei.

openssl req 

-batch 
-sha256 
-newkey 4096:rsa 
-passout pass:geheim 
-keyout private_key_enc.pem 
-out csr.pem 
-subj "/C=DE/ST=Baden-Wuerttemberg/L=Stuttgart/O=Universitaet Stuttgart/OU=Rechenzentrum/CN=www.test.tik.uni-stuttgart.de"

Heben Sie das Passwort sicher auf und löschen Sie es aus der Beispieldatei.

Die eingegebenen Befehle bewirken im Einzelnen:

  • openssl req ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
  • -batch bewirkt das Ausführen im nicht-interaktiven Modus.
  • -sha256 gibt die SHA256 Prüfsumme (fingerprint) des Zertifikatsantrags aus.
  • -newkey 4096:rsa erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren.
  • -passout pass:geheim verschlüsselt den geheimen Schlüssel mit dem Passwort geheim.
  • -keyout private_key_enc.pem speichert den geheimen Schlüssel (private key) verschlüsselt in der angegebenen Datei ab.
  • -out csr.pem legt den neuen Zertifikatsantrag PKCS#10 in der Datei csr.pem im PEM-Format ab.
  • -subj "/C=DE..." gibt den Distinguished Name des Webservers an und muss auf Ihren Server angepasst werden.

Bitte wählen Sie hier ein anderes, besseres Passwort. Allerdings hängt es später von der Konfiguration des Webservers ab, ob der geheime Schlüssel verschlüsselt bleiben kann. Wenn der geheime Schlüssel verschlüsselt vorliegt, dann kann der Webserver ohne manuelle Eingabe dieses Passwortes nicht mehr starten. Beim Neustart müsste also immer dieses Passwort eingegeben werden.

Nach der Ausführung dieses Befehls erzeugt OpenSSL die Datei csr.pem, die für die Webschnittstelle benötigt wird und die Datei mit Namen private_key.pem. Passen Sie gut auf diesen Schlüssel auf, denn Sie dürfen ihn weder verlieren, noch darf der Schlüssel in falsche Hände gelangen.

Zertifikatsbeantragung

Harica Login
Startseite

1.) Anmeldung bei Harica via Academic Login

Rufen Sie die Login-Seite von Harica auf und klicken Sie auf Academic Login um sich mit Ihrem universitären Account anzumelden. (Klicken Sie nicht Sign Up).

 

Harica Login

Institution auswählen
Institution auswählen

Tragen Sie auf der nächsten Seite (Find your Institution) in das Suchfeld Stuttgart ein und wählen Sie University of Stuttgart aus der Ergebnisliste aus.

Single Sign On
Mit ac-Account anmelden.

Nach Auswahl des Eintrags Universität Stuttgart erfolgt eine Weiterleitung auf die Anmeldeseite der Universität Stuttgart. Geben Sie hier Ihre ac-Kennung (kurz) und das dazugehörige Passwort ein und klicken Sie auf Login.

Zustimmung zur Informationsübergabe
Zustimmung zur Informationsübergabe

Die an Harica übermittelten Attribute werden Ihnen angezeigt. Klicken Sie auf Accept, um mit der Beantragung fortzufahren.
Es erfolgt eine Weiterleitung auf die Dashboard-Webseite von Harica.

 
Serverzertifikatantrag starten
Serverzertifikatantrag starten.

2.) Zertifikatsbeantragung

Nach der Anmeldung wählen Sie in der Dashboardansicht links in der Liste Certificate Requests den Eintrag Server aus.

Bitte beachten: Aktuell werden die aus einem hochgeladenen CSR (Schritt 3, siehe unten) eingetragenen Subject Alternative Names (SAN) nicht übernommen. Tragen Sie deshalb hier die benötigten Daten ein.

Namen vergeben und Domain hinzufügen.
Namen vergeben und Domain hinzufügen.

Die Felder des Webformulars sind folgendermaßen auszufüllen:

  • Friendly name (optional)
    Optional kann ein Name für das zu beantragende Zertifikat vergeben werden, um dieses später im Dashboard besser identifizieren zu können.

  • Add Domains manually or via Import
    Geben Sie hier den oder die Namen des Servers an, für den ein Zertifikat ausgestellt werden soll. Alternativ können Sie per Fileupload eine Liste mit Namen hochladen.

  • Include www. ...
    Setzen Sie den Haken, wenn Sie im Zertifikat den Namen mit und ohne "www" benötigen.

  • + Add more domains
    Fügen Sie bei Bedarf weitere Namen manuell hinzu.

Klicken Sie auf Next.

Auswahl des Zertifikattyps.
Auswahl des Zertifikattyps.

Auf der nächsten Seite wählen Sie For enterprises or organisations (OV) und klicken Sie auf Select.

 

Bestätigung des ausgewählten Zertifikattyps.

Die Auswahl wird bestätigt.

Klicken Sie auf Next.

Anzeige der Organisationsinformation.
Anzeige der Organisationsinformation.

Die Informationen der Organisation werden angezeigt.

Klicken Sie auf Next.

 

Überprüfung der Angaben
Überprüfung der Angaben

Vor der eigentlichen Zertifikatserstellung können Sie die Angaben nochmals überprüfen.

Stimmen Sie den Nutzungsbedingungen, dem Zertifizierungsverfahren und der Datenschutzerklärung zu und klicken Sie auf Next.

CSR generieren oder hochladen.
CSR generieren oder hochladen.

3) Ausstellung des Zertifikates

Nun können Sie auswählen, ob Sie einen bereits erstellten CSR (Certificate Signing Request) für Ihr Zertifikat verwenden wollen (Submit CSR manually) oder ob Sie einen CSR im Browser erstellen möchten (Auto-generate CSR). Wir raten von der Generierung im Browser ab und empfehlen einen vorab erstellten CSR zu verwenden. Die Anleitung hierzu finden Sie oben auf dieser Seite.

CSR hochladen
CSR hochladen

Klicken Sie auf Submit CSR manually und und kopieren Sie den Inhalt Ihres bereits erzeugten CSRs in das angezeigte Textfeld.

bestätigen Sie, dass Sie die verlinkten Dokumente gelesen haben und ihnen zustimmen, indem Sie den Haken setzen. Klicken Sie auf Submit request.

Dashboard mit Information zum Zertifikatsantrag.
Dashboard mit Information zum Zertifikatsantrag.

Im Dashboard wird der Zertifikatsantrag unter SSL - Pending Certificates angezeigt.

Der Antrag wird durch den PKI-Support des IZUS/TIK bearbeitet und Sie erhalten danach eine Bestätigungs-E-Mail.

Download des Zertifikates.
Download des Zertifikates.

4) Download des Zertifikates

Nachdem das Zertifikat bestätigt wurde, wird es im Dashboard unter Valid Certificates mit dem aktuellen Ablaufdatum angezeigt. Klicken Sie auf Download, um das Zertifikat herunterzuladen.

Zertifikatsformate
Zertifikatsformate

Das Zertifikat wird in unterschiedlichen Formaten zum Download angeboten.

  • PEM: Zertifikat
  • PKCS#7 (chain): Zertifikatskette
  • PEM bundle: Zertifikat mit Kette

Ein aktuelles Zertifikat kann (ohne private Key) über den in der E-Mail angegebenen Link oder über folgende Seite mit der Zertifikats-ID erneut heruntergeladen werden.

 

Harica-Login

Im Harica Dashboard können Sie das Zertifikat sperren. Wenn Sie Unterstützung benötigen, senden Sie uns eine Mail an pki-support@tik.uni-stuttgart.de

 

Harica-Login

Zum Seitenanfang