Serverzertifikate über DFN-PKI

Anbieterwechsel bei Zertifikatsausstellung

Bitte beachten Sie, dass seit dem 10.01.2025 ein neuer Zertifikatsanbieter namens HARICA den bisherigen Anbieter Sectigo abgelöst hat. Derzeit überarbeiten wir die Dokumentation und die Anleitungen auf diesen Webseiten. Noch sind nicht alle neuen Prozesse endgültig festgelegt. Wir bitten um Verständnis, dass sich die Aktualisierung daher etwas verzögern kann.

Bei HARICA können Serverzertifikate nach dem Login via SSO mit ‚Academic Login‘ manuell unter ‚Certificate Requests‘ → ‚Server‘ beantragt werden.

Aktuell ist die Erstellung von ACME-Accounts nicht möglich. Diese Funktionalität wurde für die erste Jahreshälfte 2025 angekündigt. Sobald wir neue Informationen haben, werden wir diese hier dokumentieren.

Hintergrundinformationen

Basis dieses Services ist der Service DFN-PKI des DFN. Die aktuelle Version dieses Dienstes basiert auf dem Angebot TCS von GÉANT. Die technische Basis dafür wird regelmäßig neu ausgeschrieben und aktuell von Sectigo durch deren Dienst Sectigo Certificate Manager (SCM) zur Verfügung gestellt.

Voraussetzungen

Die Ausstellung von Zertifikaten ist an technische und organisatorische Voraussetzungen geknüpft. Diese werden zum einen durch die Vorgaben von TCS als auch die Regeln von SCM abgebildet.

Bezüglich der technischen Anforderungen an die Schlüssel und Zertifikate beachten Sie bitte auch die TLS Richtlinie der IT-Security.

Um diese Regeln einzuhalten und sie auf die Gegebenheiten an der TU Darmstadt anzuwenden gelten hier die Regeln zur Zertifikatsfreigabe (wird in neuem Tab geöffnet) .

Die organisatorischen Voraussetzungen lassen sich wie folgt grob zusammenfassen:

  • Zertifikate werden nur an Mitarbeitende und Angehörige der TU Darmstadt ausgegeben.
  • Personen dürfen Zertifikate für Hostnamen in Domains beantragen, in denen sie als Domainbeauftragte eingetragen sind.
  • Andere Personen bedürfen für das Beantragen eine Genehmigung des entsprechenden Bereichs oder des/der Domainbeauftragten. Dazu genügt ein formloses Schreiben mit Stempel des entsprechenden Bereichs oder z.B. eine formlose E-Mail einer/eines Domainbeauftragten an tud-ca@hrz.tu-darmstadt.de.

Antragswege

Serverzertifikate können prinzipiell auf zwei verschiedenen Wegen ausgestellt werden:

  • „klassisch“ über ein Webformular und manuelle Freigabe
  • über das ACME Protokoll

Die Prozesse zur Freigabe bzw. Erstellung eines ACME-Accounts sind in der Prozessbeschreibung (wird in neuem Tab geöffnet) dokumentiert.

Folgende Schritte beschreiben, wie Sie ein Zertifikat anfordern:

Schritt 1: Erzeugen Sie eine Zertifizierungsanforderung (CSR) nach dem Muster:

  • C=DE, ST=Hessen, L=Darmstadt, O=Technische Universitaet Darmstadt
  • CN= (Servername), Beispiel: www.hrz.tu-darmstadt.de

Eine detaillierte Anleitung ist in den Blogeintrag des DFN beschrieben.

Schritt 2: Laden Sie auf der Antragsseite von TCS hoch und tragen Sie die erforderlichen Daten ein. Dazu müssen Sie sich mit ihrer TU-ID authentifizieren und der Antrag wird mit ihrer persönlichen Mail Adresse verknüpft. Es empfiehlt sich auch eine nicht persönliche (z.B. Funktionsadresse) als „External Requester“ anzugeben. Das HRZ wird über den neuen Antrag automatisch informiert.

Die Antragsseite ist leider aktuell nur in englisch verfügbar.

Schritt 3: Nach erfolgreicher Prüfung wird das Zertifikat generiert und an die angegebene E-Mail-Adresse gesendet.

Schritt 4: Import des Zertifikates in die Anwendung.

Sie können auch Zertifikate automatisiert über das ACME Protokoll ausstellen lassen.

Im Gegensatz zu z.B. Let's encrypt müssen Sie sich hier einmalig pro ACME-Client bei uns registrieren. Dafür ist danach keine Validierung beim Ausstellen von Zertifikaten mehr nötig (z.B. für nicht vom Internet erreichbare Server) und die Zertifikate enthalten einen Verweis auf die Beziehung zur TU Darmstadt (Organization Validation).

Weitere Technische Details z.B. auch zur Konfiguration finden sich in der DFN-FAQ zu TCS.

Schritt 1: Beantragen Sie einen ACME-Zugang über das entsprechende Formular . Dafür müssen Sie sich zunächst mit Ihrer TU-ID authentifizieren.

Schritt 2: Wir prüfen ihre Antrag und schicken Ihnen dann die nötigen Zugangsdaten zu.

Schritt 3: Sie konfigurieren Ihren ACME-Client (z.B. certbot). Details dazu haben wir auf der Seite ACME-Konfiguration zusammengestellt.

Schritt 4: Der ACME-Client kann anschließend automatisch Zertifikate ausstellen und erneuern.