Zertifikate
UdK-CA und UdK-RA
Als CA (Certifikation Authority) für die UdK Berlin ist der DFN-Verein tätig (UdK-CA).
RA (Registration Authority) in der UdK Berlin ist das Referat für Planung, Organisation und Datenverarbeitung (Referat DVOrg), Herr Peukert, App. 2467, Mail: ra@udk-berlin.de (UdK-RA).
Alle Fragen im Zusammenhang mit der Zertifikatserstellung richten Sie bitte ausschließlich an die RA.
Policy
Für die Zertifikate der UdK Berlin gelten die Policy der DFN-PKI und die Anwender-Policy der UdK Berlin.
Bitte lesen Sie die Policies sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.
Serverzertifikate
Allgemeine Infos
Die Zertifizierungsinstanz der UdK Berlin stellt SSL-Zertifikate für Server der Fakultäten und anderen Einrichtungen der Hochschule aus.
Mit einem Serverzertifikat wird Ihr Server durch eine vertrauenswürdige Instanz beglaubigt. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen.
Bitte beachten Sie jedoch, dass noch nicht jeder Browser das verwendete Root-Zertifikat der Dt. Telekom implementiert hat, so dass es trotz installiertem Serverzertifikat zu Sicherheitsabfragen kommen kann.
Schlüssel und Request erzeugen (mit OpenSSL)
Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Die Schlüssellänge muss mindestens 2048 bit (RSA) betragen. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die TUB-CA übermittelt.
Verwenden Sie nach Möglichkeit eine neuere Version von OpenSSL (empfohlen mind. 0.9.6).
Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:
- Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten
- Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
- Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten.
Für Server im Bereich der UdK-CA lautet der Name:
c=DE,
o=Universitaet der Kuenste Berlin,
ou=<Institut/Einrichtung>,
cn=<voller Rechnername>,
email=<E-Mail-Adresse des Server-Admin>
Insbesondere müssen also das "st" und das "l" Attribut zusammen oder garnicht verwendet werden.
Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.
Für Linux-Server gibt es eine Anleitung für die Request-Generierung mit OpenSSL vom RRZN der Uni-Hannover.
Zertifikatantrag ausfüllen
Füllen Sie bitte den Zertifikatantrag für Serverzertifikate aus und folgenden den Handlungshinweisen; hier geht's zum Zertifikatsantrag.
Schriftlicher Antrag und Identifizierung
Um den Request zu bearbeiten, geben Sie bitte den ausgedruckten und ergänzten Antrag in der RA der UdK Berlin (Registration-Authority) ab und lassen sich durch ein Ausweisdokument (Personalausweis, Reisepass) identifizieren.
Ausstellung des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angebene E-Mailadresse. Darin enthalten ist ein Link zum Download des Zertifikates, sowie das Zertifikat selbst.
Installation des Zertifikates
Informationen zur Installation des Zertifikates in Ihren Server entnehmen Sie bitte der zugehörigen Dokumentation, für open-ssl gibt es ebenfalls eine Anleitung des RRZN der Uni Hannover.
Druckversion
