Zertifikate
++++ Wichtiger Hinweis +++++
Der DFN-Verein hat vor einiger Zeit angekündigt, dass die Verwaltung von Zertifikaten sich ab 2023 ändern. TCS (Trusted Certificate Service) ist zukünftig ein PKI-Angebot, das der DFN-Verein über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo. Überblick über den Dienst bei GÉANT: https://security.geant.org/trusted-certificate-services/
Der DFN-Verein führt das Angebot zur Zeit für alle Teilnehmer der DFN-PKI ein. TCS wird die bisherige DFN-PKI „Global“ (siehe Struktur DFN unten) mittelfristig ablösen.
Nutzerzertifikate werden noch bis MItte 2023 wie bisher beim DFN beantragt, Server-Zertifikate sind bereits ab dem 01.01.2023 nur noch über Sectigo zu beantragen, siehe Anleitung Server-Zertifikate.
Diese Webseite wird in 2023 grundlegend überarbeitet, wenn alle Zertifikatsarten auf Sectigo umgestellt wurden.
++++++++++++++++++++++++
Der Weg zum eigenen Zertifikat
Bevor Sie zum ersten Mail ein Zertifikat beantragen, sollten Sie die untenstehenden Richtlinien und Erklärungen zum Zertifizierungsbetrieb durchlesen. Dort werden die Regeln festgelegt, nach denen die einzelnen Zertifizierungsinstanzen arbeiten. Neben den Richtlinien (CP, CPS) der DFN-PCA, kommen auch die lokalen Besonderheiten der Uni-FR CA und ihrer RA zur Geltung.
Eine knappe Zusammenfassung der Aufgaben eines Zertifikatnehmers finden Sie in dem DFN-Artikel "Informationen für Zertifikatinhaber".
Nutzer-Zertifikate
1. Bitte vereinbaren Sie einen Termin unter pki@rz.uni-freiburg.de, damit ihre Identität überprüft werden kann. Bitte hierfür einen gültigen Lichtbildausweis bereithalten. Bevor diese Prüfung erfolgt ist, können Sie das Zertifikat nicht beantragen.
2. Rufen sie die Webpage: https://cert-manager.com/customer/DFN/idp/clientgeant auf.
3. Folgen Sie der detaillierten Anleitung um das Zertifikat zu erstellen.
Gruppen-Zertifikate
Bitte schreiben Sie ein Ticket an pki@rz.uni-freiburg.de.
Server-Zertifikate: Anleitung für Anträge beim Anbieter Sectigo
Link zum Antrag beim Anbieter Sectigo https://cert-manager.com/customer/DFN/ssl/sslsaml/login
- Klicken auf "Your Institution", Auswahl/Eingabe von "Albert-Ludwigs-Universität Freiburg"
- Melden Sie sich dann über MyLogin mit Ihren Uni-Accountdaten ein
- Wählen Sie "Enroll Certificate" und dann "Uni Freiburg Server Certificate" unter Select Enrollment Account
- Klicken auf Next
- Klicken auf: Upload CSR -> Auswahl der lokalen CSR-Datei
- MIt einem Klick auf Submit schicken Sie den Antrag ab
- Der Antrag ist bis zur Bearbeitung auf der Sectigo-Website mit dem Status "Requested" einzusehen.
- Nach Bearbeitung des Antrags durch das RZ erfolgt die Zusendung des Zertifikats per E-Mail an die im CSR genannte E-Mailadresse.
Detaillierte Anleitung als PDF zum Download.
Weitere Informationen finden sich in unserem Admin-Forum. Eine Anleitung zur Konfiguration eines ACME-Clients finden Sie im RZ Wiki (https://www.wiki.uni-freiburg.de/rz/doku.php?id=zertifikate_installieren_mit_acme-clients)
Struktur der Zertifizierungshierarchie über den DFN-Verein
Die Nutzer-Zertifikate und noch im Jahr 2022 beantragte DFN-Serverzertifikate werden von der übergeordneten Zertifizierungsstelle der DFN-PKI (DFN-PCA) ausgestellt.
Sicherheitsniveau GLOBAL
-
Wurzelzertifizierungsstelle Deutsche Telekom Root CA 2: Das Wurzelzertifikat dieser Instanz beglaubigt das CA-Zertifikat der DFN-PKI im Sicherheitsniveau Global G01. Dieses Wurzelzertifikat ist in Windows Betriebssystemen (und damit in allen Microsoft-Anwendungen) vorinstalliert (lesen Sie dazu die Anmerkung zu Vista in der DFN-PKI-FAQ). Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie ist für Mozilla Firefox ab der Version 3.0.12 und für Mozilla Thunderbird ab der Version 2.0.0.23 erfolgt.
-
Zertifizierungsstelle der DFN-PKI (angesiedelt beim DFN-Verein):Das Zertifikat dieser Zwischeninstanz wird beglaubigt vom Wurzelzertifikat der Deutschen Telekom und beglaubigt seinerseits alle davon abgeleiteten Zertifikate, u.a. das Zertifikat der Uni-FR CA.
-
Zertifizierungsstelle der Universität Freiburg Uni-FR CA (angesiedelt beim DFN-Verein): Das Zertifikat dieser Einrichtung wird vom DFN-Zertifikat beglaubigt und beglaubigt seinerseits alle davon abgeleiteten persönlichen oder Server-Zertifikate.
-
Registrierungsstelle (RA) der Uni-FR CA (angesiedelt beim Rechenzentrum der Universität Freiburg): Diese Einrichtung identifiziert die AntragstellerInnen und genehmigt die beantragten Zertifikate.
Der Betrieb der Uni-FR CA ist in folgenden Dokumenten geregelt:
-
CPS der Uni-FR CA: Erklärung zum Zertifizierungsbetrieb der UNI-FR CA in der Public Key Infrastruktur im Deutschen Forschungsnetz.
Das Wurzelzertifikat und die Zertifikate der DFN-CA und der Uni-FR CA
Um die Vorteile der Zertifizierung von Webseiten oder E-Mails durch die Uni-FR CA nutzen zu können (und bevor Sie ein eigenes Zertifikat beantragen), muss zumindest das Wurzelzertifikat im Betriebssystem bzw. dem Zertifikatsspeicher der nicht zum Betriebssystem gehörenden Web-Anwendung installiert sein.
Die Zertifikate der Wurzelzertifizierungsstellen Deutsche Telekom Root CA und sectigo sind in der Regel in allen Betriebssystemen und aktuellen Browserversionen vorinstalliert.
Sollten Sie wider Erwarten die Zertifikatskette manuell in Ihrem Browser einfügen müssen, finden sie die DFN-Zertifikatskette unter dem nachfolgenden Link: CA-Zertifikate
Die Verlängerung der Zertifikate
Zertifikate haben jeweils eine begrenzte Gültigkeitsdauer:
-
die persönlichen Zertifikate 3 Jahre ab Genehmigung
-
bestehende DFN-Serverzertifikate, die vor dem 31.12.22 beantragt wurden: 13 Monate ab Genehmigung
-
Serverzertifikate über Sectigo: 1 Jahr ab Genehmigung
Verlängerung Serverzertifikate
Sofern Sie ein auslaufendes DFN-Serverzertifikat erneuern müssen, erstellen Sie bitte wie oben beschrieben ein neues Server-Zertifikat über Sectigo.
Sectigo Server-Zertifikate können direkt bei Erst-Beantragung über das Sectigo-Portal zur automatischen Wiederbeantragung vor Ende der einjährige Gültigkeitsdauer vorgemerkt werden. Das Portal erzeugt dann automatisch einen neuen elektronischen Zertifikatsantrag, der an die Zertifizierungsstelle gemeldet wird. Nach Genehmigung erhalten sie eine Benachrichtigung über das neue Zertifikat.
Ein automatischer Bezug neuer Zertifikate bietet ein ACME-Client, der direkt auf Ihrem System installiert wird. Siehe https://www.wiki.uni-freiburg.de/rz/doku.php?id=zertifikate_installieren_mit_acme-clients
Sperren eines Zertifikates (DFN-Zertifikate)
Sie können Ihr Zertifikat sperren lassen, wenn Sie befürchten, dass Ihr geheimer Schlüssel ausspioniert wurde und das Zertifikat von unberechtigten Personen genutzt werden könnte. Ein anderer möglicher Grund ist, dass Ihr geheimer Schlüssel verloren gegangen ist, z. B. nach Absturz und Neuinstallation Ihres Rechners, auf dem der private Schlüssel installiert war.
Durch das Sperren wird ein Zertifikat auf die sogenannte Sperrliste (CRL- Certificate revocation list) gesetzt. Diese enthält die Seriennummern von Zertifikaten, die vor Ablauf ihrer regulären Gültigkeit für ungültig erklärt wurden.
Zum Sperren besuchen Sie die dafür vorgesehene Webseite des DFN-Vereins und geben dort die Seriennummer des Zertifikates und auf Wunsch den Grund für die Sperrung ein. Die Angabe eines Grundes hilft beim späteren Nachvollziehen des Vorganges.
Die Seriennummer finden Sie in der Mail, mit der Ihnen das Zertifikat von der Zertifizierungsstelle zugeschickt wurde. Falls Sie die Seriennummer nicht mehr finden können, wechseln Sie auf der Webseite zu „Zertifikat suchen“ und geben die Mailadresse (bei Benutzer-Zertifikaten) oder den Servernamen (bei Server-Zertifikaten) ein. Sie erhalten eine Liste von Seriennummern der Zertifikate, auf die die Suchanfrage passt.
Nachdem Sie die Seriennummer und evtl. den Grund abgeschickt haben werden Sie nach der PIN gefragt, die Sie bei der Beantragung angegeben haben. Ohne diese PIN sind Sie nicht in der Lage, die Sperrung durchzuführen und müssen die Hilfe der Registrierungsstelle in Anspruch nehmen.
Wenn Ihr Antrag zur Sperrung gelingt, wird die Registrierungsstelle automatisch informiert und schließt den Sperrvorgang mit der Genehmigung ab.
Anschließend erscheint das Zertifikat mit Seriennummer in den öffentlich zugänglichen Sperrlisten des DFN-Vereins, kann eingesehen und von den diversen Web-Clients (Browser, Mailprogramme usw.) automatisch ausgelesen werden.
Kontakt
Die Zertifizierungsstelle befindet sich im Rechenzentrum, Hermann-Herder-Straße 10.
Lesen Sie näheres auf der Seite der Zertifizierungsstelle