Zertifikate
++++ Wichtiger Hinweis +++++
Wir empfehlen dringend, dass kritische Server- und Nutzerzertifikate (VOR April 2024 beantragt) von Ihnen jetzt bereits vor Ablauf erneuert werden sollten.
Durch eine zeitnahe Erneuerung der Zertifikate vor Ende der Leistungserbringung verschaffen Sie sich mehr Spielraum für Anpassungen in Ihrer Organisation. Dies empfiehlt sich auf jeden Fall für geschäftskritische Zertifikate oder Zertifikate, die bald ablaufen.
DFN:
„Der derzeit über GÉANT / TCS beauftragte Anbieter von browserverankerten
Zertifikaten, Sectigo, hat die Leistungserbringung kurzfristig zum
10.01.2025 aufgekündigt. Alle Bemühungen, dies abzuwenden, haben keinen
Erfolg gehabt. Details finden Sie unter
https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation
Auch wenn GÉANT an einer Lösung arbeitet hat der DFN-Verein sofort nach
Bekanntwerden des Sachverhalts begonnen, einen neuen Anbieter zu suchen,
der eine äquivalente Leistung erbringen kann. Wichtigstes Ziel ist es,
eine Versorgungslücke zu vermeiden. Dieser Anbieter konnte nun gefunden
und ein entsprechender Auftrag Anfang dieser Woche unterzeichnet werden.
Der neue Anbieter ist eine europäische Organisation, die uns seit vielen
Jahren bekannt und im Bereich der browserverankerten Zertifikate (sowohl
Server- als auch E-Mail-Zertifikate) sehr gut aufgestellt ist. Weitere
Informationen werden wir im Rahmen der Mitgliederversammlung mitteilen.
In Kürze werden wir mit dem Wechsel zu dem neuen Anbieter beginnen.“
++++++++++++++++++++++++
Der Weg zum eigenen Zertifikat
Bevor Sie zum ersten Mail ein Zertifikat beantragen, sollten Sie die untenstehenden Richtlinien und Erklärungen zum Zertifizierungsbetrieb durchlesen. Dort werden die Regeln festgelegt, nach denen die einzelnen Zertifizierungsinstanzen arbeiten. Neben den Richtlinien (CP, CPS) der DFN-PCA, kommen auch die lokalen Besonderheiten der Uni-FR CA und ihrer RA zur Geltung.
Eine knappe Zusammenfassung der Aufgaben eines Zertifikatnehmers finden Sie in dem DFN-Artikel "Informationen für Zertifikatinhaber".
Nutzer-Zertifikate
1. Bitte vereinbaren Sie einen Termin unter pki@rz.uni-freiburg.de, damit ihre Identität überprüft werden kann. Bitte hierfür einen gültigen Lichtbildausweis bereithalten. Bevor diese Prüfung erfolgt ist, können Sie das Zertifikat nicht beantragen.
2. Rufen sie die Webpage: https://cert-manager.com/customer/DFN/idp/clientgeant auf.
3. Folgen Sie der detaillierten Anleitung um das Zertifikat zu erstellen.
Gruppen-Zertifikate
Bitte schreiben Sie ein Ticket an pki@rz.uni-freiburg.de.
Server-Zertifikate: Anleitung für Anträge beim Anbieter Sectigo
Link zum Antrag beim Anbieter Sectigo https://cert-manager.com/customer/DFN/ssl/sslsaml/login
- Klicken auf "Your Institution", Auswahl/Eingabe von "Albert-Ludwigs-Universität Freiburg"
- Melden Sie sich dann über MyLogin mit Ihren Uni-Accountdaten ein
- Wählen Sie "Enroll Certificate" und dann "Uni Freiburg Server Certificate" unter Select Enrollment Account
- Klicken auf Next
- Klicken auf: Upload CSR -> Auswahl der lokalen CSR-Datei
- MIt einem Klick auf Submit schicken Sie den Antrag ab
- Der Antrag ist bis zur Bearbeitung auf der Sectigo-Website mit dem Status "Requested" einzusehen.
- Nach Bearbeitung des Antrags durch das RZ erfolgt die Zusendung des Zertifikats per E-Mail an die im CSR genannte E-Mailadresse.
Detaillierte Anleitung als PDF zum Download.
Weitere Informationen finden sich in unserem Admin-Forum. Eine Anleitung zur Konfiguration eines ACME-Clients finden Sie im RZ Wiki (https://www.wiki.uni-freiburg.de/rz/doku.php?id=zertifikate_installieren_mit_acme-clients)
Struktur der Zertifizierungshierarchie über den DFN-Verein
Die Nutzer-Zertifikate und noch im Jahr 2022 beantragte DFN-Serverzertifikate werden von der übergeordneten Zertifizierungsstelle der DFN-PKI (DFN-PCA) ausgestellt.
Sicherheitsniveau GLOBAL
-
Wurzelzertifizierungsstelle Deutsche Telekom Root CA 2: Das Wurzelzertifikat dieser Instanz beglaubigt das CA-Zertifikat der DFN-PKI im Sicherheitsniveau Global G01. Dieses Wurzelzertifikat ist in Windows Betriebssystemen (und damit in allen Microsoft-Anwendungen) vorinstalliert (lesen Sie dazu die Anmerkung zu Vista in der DFN-PKI-FAQ). Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie ist für Mozilla Firefox ab der Version 3.0.12 und für Mozilla Thunderbird ab der Version 2.0.0.23 erfolgt.
-
Zertifizierungsstelle der DFN-PKI (angesiedelt beim DFN-Verein):Das Zertifikat dieser Zwischeninstanz wird beglaubigt vom Wurzelzertifikat der Deutschen Telekom und beglaubigt seinerseits alle davon abgeleiteten Zertifikate, u.a. das Zertifikat der Uni-FR CA.
-
Zertifizierungsstelle der Universität Freiburg Uni-FR CA (angesiedelt beim DFN-Verein): Das Zertifikat dieser Einrichtung wird vom DFN-Zertifikat beglaubigt und beglaubigt seinerseits alle davon abgeleiteten persönlichen oder Server-Zertifikate.
-
Registrierungsstelle (RA) der Uni-FR CA (angesiedelt beim Rechenzentrum der Universität Freiburg): Diese Einrichtung identifiziert die AntragstellerInnen und genehmigt die beantragten Zertifikate.
Der Betrieb der Uni-FR CA ist in folgenden Dokumenten geregelt:
-
CPS der Uni-FR CA: Erklärung zum Zertifizierungsbetrieb der UNI-FR CA in der Public Key Infrastruktur im Deutschen Forschungsnetz.
Das Wurzelzertifikat und die Zertifikate der DFN-CA und der Uni-FR CA
Um die Vorteile der Zertifizierung von Webseiten oder E-Mails durch die Uni-FR CA nutzen zu können (und bevor Sie ein eigenes Zertifikat beantragen), muss zumindest das Wurzelzertifikat im Betriebssystem bzw. dem Zertifikatsspeicher der nicht zum Betriebssystem gehörenden Web-Anwendung installiert sein.
Die Zertifikate der Wurzelzertifizierungsstellen Deutsche Telekom Root CA und sectigo sind in der Regel in allen Betriebssystemen und aktuellen Browserversionen vorinstalliert.
Sollten Sie wider Erwarten die Zertifikatskette manuell in Ihrem Browser einfügen müssen, finden sie die DFN-Zertifikatskette unter dem nachfolgenden Link: CA-Zertifikate
Die Verlängerung der Zertifikate
Zertifikate haben jeweils eine begrenzte Gültigkeitsdauer:
-
die persönlichen Zertifikate 3 Jahre ab Genehmigung
-
bestehende DFN-Serverzertifikate, die vor dem 31.12.22 beantragt wurden: 13 Monate ab Genehmigung
-
Serverzertifikate über Sectigo: 1 Jahr ab Genehmigung
Verlängerung Serverzertifikate
Sofern Sie ein auslaufendes DFN-Serverzertifikat erneuern müssen, erstellen Sie bitte wie oben beschrieben ein neues Server-Zertifikat über Sectigo.
Sectigo Server-Zertifikate können direkt bei Erst-Beantragung über das Sectigo-Portal zur automatischen Wiederbeantragung vor Ende der einjährige Gültigkeitsdauer vorgemerkt werden. Das Portal erzeugt dann automatisch einen neuen elektronischen Zertifikatsantrag, der an die Zertifizierungsstelle gemeldet wird. Nach Genehmigung erhalten sie eine Benachrichtigung über das neue Zertifikat.
Ein automatischer Bezug neuer Zertifikate bietet ein ACME-Client, der direkt auf Ihrem System installiert wird. Siehe https://www.wiki.uni-freiburg.de/rz/doku.php?id=zertifikate_installieren_mit_acme-clients
Sperren eines Zertifikates (DFN-Zertifikate)
Sie können Ihr Zertifikat sperren lassen, wenn Sie befürchten, dass Ihr geheimer Schlüssel ausspioniert wurde und das Zertifikat von unberechtigten Personen genutzt werden könnte. Ein anderer möglicher Grund ist, dass Ihr geheimer Schlüssel verloren gegangen ist, z. B. nach Absturz und Neuinstallation Ihres Rechners, auf dem der private Schlüssel installiert war.
Durch das Sperren wird ein Zertifikat auf die sogenannte Sperrliste (CRL- Certificate revocation list) gesetzt. Diese enthält die Seriennummern von Zertifikaten, die vor Ablauf ihrer regulären Gültigkeit für ungültig erklärt wurden.
Zum Sperren besuchen Sie die dafür vorgesehene Webseite des DFN-Vereins und geben dort die Seriennummer des Zertifikates und auf Wunsch den Grund für die Sperrung ein. Die Angabe eines Grundes hilft beim späteren Nachvollziehen des Vorganges.
Die Seriennummer finden Sie in der Mail, mit der Ihnen das Zertifikat von der Zertifizierungsstelle zugeschickt wurde. Falls Sie die Seriennummer nicht mehr finden können, wechseln Sie auf der Webseite zu „Zertifikat suchen“ und geben die Mailadresse (bei Benutzer-Zertifikaten) oder den Servernamen (bei Server-Zertifikaten) ein. Sie erhalten eine Liste von Seriennummern der Zertifikate, auf die die Suchanfrage passt.
Nachdem Sie die Seriennummer und evtl. den Grund abgeschickt haben werden Sie nach der PIN gefragt, die Sie bei der Beantragung angegeben haben. Ohne diese PIN sind Sie nicht in der Lage, die Sperrung durchzuführen und müssen die Hilfe der Registrierungsstelle in Anspruch nehmen.
Wenn Ihr Antrag zur Sperrung gelingt, wird die Registrierungsstelle automatisch informiert und schließt den Sperrvorgang mit der Genehmigung ab.
Anschließend erscheint das Zertifikat mit Seriennummer in den öffentlich zugänglichen Sperrlisten des DFN-Vereins, kann eingesehen und von den diversen Web-Clients (Browser, Mailprogramme usw.) automatisch ausgelesen werden.
Kontakt
Die Zertifizierungsstelle befindet sich im Rechenzentrum, Hermann-Herder-Straße 10.
Lesen Sie näheres auf der Seite der Zertifizierungsstelle