Serverzertifikate über DFN-PKI

Hintergrundinformationen

Basis dieses Services ist der Service DFN-PKI des DFN. Die aktuelle Version dieses Dienstes basiert auf dem Angebot TCS von GÉANT. Die technische Basis dafür wird regelmäßig neu ausgeschrieben und aktuell von HARICA zur Verfügung gestellt.

Voraussetzungen

Die Ausstellung von Zertifikaten ist an technische und organisatorische Voraussetzungen geknüpft. Diese werden durch die Vorgaben von HARICA abgebildet.

Bezüglich der technischen Anforderungen an die Schlüssel und Zertifikate beachten Sie bitte auch die TLS Richtlinie der IT-Security.

Um diese Regeln einzuhalten und sie auf die Gegebenheiten an der TU Darmstadt anzuwenden gelten hier die Regeln zur Zertifikatsfreigabe (wird in neuem Tab geöffnet).

Die organisatorischen Voraussetzungen lassen sich wie folgt grob zusammenfassen:

  • Zertifikate werden nur an Mitarbeitende und Angehörige der TU Darmstadt ausgegeben.
  • Personen dürfen Zertifikate für Hostnamen in Domains beantragen, in denen sie als Domainbeauftragte eingetragen sind.
  • Andere Personen bedürfen für das Beantragen eine Genehmigung des entsprechenden Bereichs oder des/der Domainbeauftragten. Dazu genügt ein formloses Schreiben mit Stempel des entsprechenden Bereichs oder z.B. eine formlose E-Mail einer/eines Domainbeauftragten an .

Antragswege

Serverzertifikate können prinzipiell auf zwei verschiedenen Wegen ausgestellt werden:

  • „klassisch“ über ein Webformular und manuelle Freigabe
  • über das ACME Protokoll

Die Prozesse zur Freigabe bzw. Erstellung eines ACME-Accounts sind in der Prozessbeschreibung (wird in neuem Tab geöffnet) dokumentiert.

Folgende Schritte beschreiben, wie Sie ein Zertifikat anfordern:

Schritt 1: Erzeugen Sie eine Zertifizierungsanforderung (CSR) nach dem Muster:

  • C=DE, ST=Hessen, L=Darmstadt, O=Technische Universitaet Darmstadt
  • CN= (Servername), Beispiel: www.hrz.tu-darmstadt.de

Eine detaillierte Anleitung ist im Blogeintrag des DFN beschrieben.

Schritt 2: Loggen Sie sich mit dem „academic login“ im System von HARICA ein. Im linken Menü finden Sie unter „ Certificate Requests“ den Punkt „Server“. Sie werden durch den Prozess zur Beantragung geleitet. Beim „Produkt“ wählen Sie „For enterprises or organizations (OV)“. Das HRZ wird über den neuen Antrag automatisch informiert.

Die Antragsseite ist leider aktuell nur in Englisch verfügbar.

Schritt 3: Nach erfolgreicher Prüfung wird das Zertifikat generiert und an die angegebene E-Mail-Adresse gesendet.

Schritt 4: Import des Zertifikates in die Anwendung.

Sie können auch Zertifikate automatisiert über das ACME Protokoll ausstellen lassen.

Im Gegensatz zu bspw. Let's encrypt müssen Sie sich hier einmalig pro ACME-Client bei uns registrieren. Dafür ist danach keine Validierung beim Ausstellen von Zertifikaten mehr nötig (z.B. für nicht vom Internet erreichbare Server) und die Zertifikate enthalten einen Verweis auf die Beziehung zur TU Darmstadt (Organization Validation).

Weitere technische Details z.B. auch zur Konfiguration finden sich in der DFN-FAQ zu TCS.

Schritt 1: Beantragen Sie einen ACME-Zugang über das entsprechende Formular. Dafür müssen Sie sich zunächst mit Ihrer TU-ID authentifizieren.

Schritt 2: Wir prüfen Ihren Antrag und schicken Ihnen die nötigen Zugangsdaten zu.

Schritt 3: Sie konfigurieren Ihren ACME-Client (z.B. certbot). Details dazu haben wir auf der Seite ACME-Konfiguration zusammengestellt.

Schritt 4: Der ACME-Client kann anschließend automatisch Zertifikate ausstellen und erneuern.