SSL/TLS/SMIME-Zertifikate der Otto-von-Guericke-Universität Magdeburg

Dieser Service (Teilnehmerservice TS) dient der Erstellung elektronischer Zertifikate (z.B. EMAIL-SMIME, Webserver-HTTPS, GRID) für Mitglieder der Otto-von-Guericke-Universität Magdeburg nach den Richtlinien der Zertifizierungsinstanz des Vereins zur Förderung des Deutschen Forschungsnetzes e.V. (www.pki.dfn.de).

Achtung! Zertifikate können nur für der OvGU gehörenden Domains (ovgu.de und uni-magdeburg.de) ausgestellt werden und müssen der universitären Forschung dienen. Nutzer und Serverzertifikate für im Browser oder System verankerte Zertifikate der DFN-PKI beantragen Sie bitte auf einer der folgenden verlinkten Webseiten:

  • ACHTUNG! folgende Antrags-Weblinks ändert sich etwa jährlich, benutzen Sie bitte diese Webseite als Einstieg/Bookmark
  • ab 2025-01 neuer Cert-Anbieter https://cm.harica.gr, vorläufige Dokumentation der DFN-PKI
  • ACHTUNG: HARICA ist noch nicht fertig. Nicht benutzen! Geplante Funktionalitaet bisher nicht erreicht.
    • Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit. (Ziel Jan2025)
    • Für Serverzertifikate wird es einen ACME-Zugang geben, allerdings sind die Details noch in Absprache. (Ziel Maerz2025)
  • ab 2022-10 bis 2025-01-09 Server-Zertifikate per CSR-Request via Geant/Sectigo und AAI-Anmeldung (externer Link, TLS-pubkey aendert sich, braucht JavaScript)
  • ab 2023-08 bis 2025-01-09 persönliche Zertifikate via Geant/Sectigo
    • Vorraussetzung: Ausweiskontrolle (einmalig, s.o.), sonst Fehler: "You are not allowed to self enroll."
      • URZ: G26 IT-Service Tel.+49 391 67 58888
      • K2: G09-414 A.Grahn Tel.51076
      • FMA: G02-08 A.Kaina Tel.58648
      • FIN: G29-322 T.Schwarzer Tel.52837
      • FME, medizin. Fak., MRZ H17/203 Tel.15724 F.Franke/R.Boehm
      • Beratung/Info: G26-039 J. Schulenburg Tel.58408 oder Lilienblum/Kuhfahl/Nykolaichuk
    • Anleitung mit Bildern hier
    • Kurzanleitung:
      • Da keine Testzertifikate erstellt werden duerfen, ist die Anleitung nicht aktuell. Screenshots sind willkommen.
      • Anmeldung bei Geant/Sectigo via OVGU-Shibboleth (Jun24: redirect to service.seamlessaccess.org)
      • "Choose Your Institution": Otto-von-Guericke-University Magdeburg ...
      • "Certificate Profile": "GEANT Personal Certificate"
      • "Term": 730 days
      • "Enrollment Method": "CSR" (sicherer) oder "Key Generation" (einfacher)
        • bei "CSR" muss das Schlüsselpaar und der CSR-Request separat auf eigenem Rechner erzeugt werden und der CSR-Request im nächsten Schritt hochgeladen werden
        • bei "Key Generation" wird das Schlüsselpaar automatisch auf dem Sectigo-Server erzeugt (potentiell unsicher) und anschließend als Download bereitgestellt
        • bei "KeyType" waehle was, was zu Deinem Mailprogramm und allen Deinen Mail-Partnern passt (testen, versuche RSA-2048)
        • bei "KeyProtectionAlgorithm" waehle was, was Deine Software kann (testen, versuche AES256-SHA256)
      • EULA (5952 Worte, englisch, 41kB) lesen und Häckchen für Einverständnis setzen (ACHTUNG: Vertrag pro Enduser mit internationaler Firma Sectigo, Gerichtsstand GB, Stand: Jun2023)
      • Submit (usw. ;))
    • Rechnen Sie bitte mit wöchentlichen Änderungen oder Störungen an der Sectigo-Software.
  • ab 2023-08 persönliche Zertifikate, Gruppen-, Pseudonym- und Server-Zertifikate der DFN-Community
    • Alternative zu Sectigo, aber das DFN-Community-Root-Zertifikat ist nicht(!) bei Betriebssystemen und Browsern verankert, händischer Import nötig (Link unten), unabhängig, zuverlässig, papierlos, längere Laufzeiten (5J)
    • Antrag via DFN-Community-OVGU (externer Link, JavaScript benoetigt)
    • Hinweis: auch bei Upload eines CSR-Requests kommt die überfüssige Frage nach einem Passwort für die Antragsdatei, bevor der PDF-Antrag mit dem Fingerprint generiert wird
    • wichtig: PDF-Antrag per EMAIL/Hauspost an URZ: G26-036 J. Schulenburg Tel.58408 oder E. Lilienblum
    • Root-Zertifikat für Browser-Import: DFN-Community-Root-Zertifikat

Erzeugen eines CSR-Requests mit OpenSSL und Test des Zertifikates (ab 2007)

Dies ist eine minimale rudimentaere Anleitung. Im Web finden Sie u.U. bessere zu Ihrer Anwendung passende Anleitungen. Generierung und Hochladen des CSR-Antrags ist sicherer als die von Anbietern oft angebotene Schlüsselgenerierung im Browser (Sicherheit kostet).

 1) Lesen Sie Policy "DFN-Community" der www.pki.dfn.de
 2) Schluessel erzeugen, falls nicht bereits vorhanden
    openssl genrsa -out user.key 4096  # linux-manual: man genrsa
    # -rand ~/.gnupg/random_seed wenn moeglich (bessere Zufallszahl) 
    # -des3 nur fuer verschluesselten Key (Passphrase benoetigt)
    # alte Schluessel und CSRs koennen ggf. wiederverwendet werden
 3) Certificationrequest generieren (PKCS#10-Zertifikatantrag), falls nicht bereits vorhanden
    openssl req -new -out user.csr -key user.key \
    -subj "/GN=Max/SN=Mustermann/CN=Max Mustermann/emailAddress=max.\
mustermann@ovgu.de/OU=Abteilung/O=Otto-von-Guericke-Universitaet Magdeburg/C=DE"
    # keine Umlaute verwenden! (ä=ae,ö=oe,...)
    # Gruppen und Pseudonyme muessen mit CN "GRP: ","PN: ", "GRP - " oder "PN - " beginnen
    # Anm: GRP/PN-Zertifikate koennen nur bei DFN-Community beantragt werden
    # Server: -subj "/CN=foo1.ovgu.de/O=Otto-von-Guericke-Universitaet Magdeburg/C=DE"
    # optional alternative Server-Namen:      (zugefuegt 2023-07)
    # since OpenSSL 1.1.1 -addext "subjectAltName = DNS:foo1.ovgu.de, DNS:foo2.ovgu.de"
    #   bei Usern DN.CN=Titel Vorname Name (nur wie im Ausweis! ä=ae usw.)
    # - challenge.pwd=xxxx
    openssl req -noout -text -verify -in user.csr # ggf. altes CSR pruefen
    # Fingerprint notieren
    openssl req -noout -modulus -in user.csr | openssl sha1 -c
 4) Zetifikatsantrag einreichen (.csr,.req oder .pem)
    # neu2017: Online-Antrag (Links s.o.) ausfuellen und ausdrucken.
    # neu2022: Online-Antrag (Links s.o.) ausfuellen
    Zertifizierung durch die CA (CSR zu CRT/P7B/PKCS#7)
    # user.crt speichern (ggf. combined KEY+CRT as PKCS#12)
 5) Zertifikat (.crt oder .pem) pruefen und einspielen, z.B: 
    openssl x509 -noout -text -in user.crt  # show cert-content
    # fuer SSL-Server (siehe ssl.conf SSLCertificateFile)
    export CFG=/usr/local/apache/conf    # FC6: /etc/httpd/conf.d/
    cp user.key $CFG/ssl.key/server.key
    cp user.pem $CFG/ssl.crt/server.crt  # von CA-signiert ggf. CA-Kette anhaengen
    ### CentOS-6.4: see /etc/sysconfig/httpd + /etc/httpd/conf.d/ssl.conf
    cp user.key /etc/pki/tls/private/localhost.key
    cp user.pem /etc/pki/tls/certs/localhost.crt
    # copy chain to /etc/pki/tls/certs/server-chain.crt
    # Datei-Zugriffsrechte fuer httpd beachten!
    # Wenn abweichend, bitte EMAIL mit Korrektur an mich
    # fuer Nutzerzertifikate (entsprechend Anwendung/App)
    # ToDo: minimal encrypt/decrypt/signatur von Files mit openssl
    # ToDo: replace Apache by universal stunnel-Anleitung
 6) Webserver mit Zertifikat nach Restart testen
    openssl s_client -connect www.meinserver.de:443 -showcerts
    # es muss die gesamte Zertifikatskette angezeigt werden
    # die Zertifikatskette kann meist an das Zertifikat gehaengt werden

How-to make better security in short (since jabber.ru-hack 2023)

SSL/TLS is based on knowing the correct pubkey. Certificates may help you to get the correct pubkey on first SSL/TLS connect. Treating every SSL/TLS connect as a first connect, is a design flaw (ff91). Use a pubkey-checker plugin to fix this flaw, for example "certificate watch" - with pubkey-check only configured. For the pubkey owner: use the old keypair for a new cert request. Today the WebSecurity can be seen as broken regarding JavaScript-Usage and Certificate-Management (Mar2024 JoS).

Aktuelles+Historie:

  • 2025-01-29 Sectigo-Cert-Manager verschickt Auto-Approved EMAILs, obwohl im Cert-Manager renew="failed" vermerkt ist
  • 2025-01 Userzertifikate mit alten Root-CA im Umlauf: T-TeleSec GlobalRoot Class 2 bis 28.08.2026, Sectigo bis 10.01.2027
  • 2025-01-10 Neuer Zertifikatsanbieter HARICA (Umstellung in Arbeit, Vorest nur Notfälle)
  • 2025-01-10 Wechsel des Geant-Zertifikatsanbieters wegen Vertragskündigung (evl. keine Ablauf-Erinnerungs-Mails mehr)
  • 2024-11 Sectigo laed fonts.gstatic.com, DSGVO-Verstoss, + weitere externe Scripte
  • 2024-10 ungeklaerte Löschung dieses Inhaltes in EGOCMS, restore möglich
  • 2024-03 erneut kritische Fehler Chrome/Firefox: Javascript Sandbox-Ausbruch (ein generelles Komplexitaets-Sicherheitsproblem aehnlich zu Adobe-Flash, Java u.a. Programm-Erweiterungen, JavaScript ist ein Sicherheitsproblem)
  • 2023-10 ACHTUNG: der jabber.ru-Hack hat gezeigt, dass Zertifikatsketten nicht verlaesslich sind, checken Sie, ob der Public-Key Ihnen bekannt ist (FF, Schlosssymbol, mehr Infos "have I visited this ..." zaehlt nur die URL und ignoriert das Zertifikat! Umstaendliche haendische Pruefung FingerPrint noetig oder "certificate watch" plugin)
  • 2023-04 Liste der Geant/Sectigo-Wurzelzertifikate
  • 2023-04 Umstellung Nutzer-Zertifikate auf GEANT-TCS (signiert vom Anbieter Sectigo mit GEANT-Signatur im Auftrag von GEANT, i.d.R. privat key auf Sectigo-Server ausserhalb OvGU generiert, papierlos)
  • 2022-05 bis 2022-12: Umstellung Serverzertifikate on DFN-PKI (DE) zu Geant-TCS (EU)
  • 2021-07: Anleitung/Hilfe zu Anwendungen (geplant)
  • 2021-07: Zeitstempeldienst des DFN
  • Nov2017: Abschaltung Uni-CA, Nutzung DFN-CA, Umbenennung Registration Authority (RA) in Teilnehmerservice der OVGU
  • Jan2017: Zertifikatskette G2(SHA2 bis max. Feb2031), Rootzertifikat zum Import: .crt, .der
  • Jan2017: Neues Root-Zertifikats G2 mit SHA2, siehe faq-umstellung-sha-2 der DFN-PKI. Anmerkung: SHA1 im Root-Zertifikat cryptologisch bedeutungslos.
  • Mai2014: SHA2-SSL/TLS-Zertifikatskette pki.pca.dfn.de bis max. Jul2019, Rootzertifikat zum Import: .crt, .der
  • Apr2014: Etwa 7 vom openssl-1.0.1-Bug betroffende Systeme, Zertifikate getauscht.
  • Jan2010: Stilllegung der PGP-DFN-CA wegen mangelnder Nachfrage (3 Unis)
  • Jul2009: Aufnahme Telekom Root Zertifikat in FireFox-3.5, Root der DFN-PCA
  • Sep2008: DFN-PCA von Apple-Systemen unterstützt
  • Feb2007: ausgelagerte Zertifizierungsstelle (CA, Key bei DFN-PKI) und Registrierungsstelle (RA) für Sicherheitslevel Global in Betrieb genommen. Das Wurzelzertifikat (Root) ist die Deutsche Telekom Root CA 2 G01 und wird Bestandteil des IE-7 sein.
  • Feb2007: EuGrid-RA in Betrieb genommen.
  • Apr2006: Neuer PGP Zertifizierungsschlüssel der CA-OvGUM
  • URZ-Kurs vom 14.04.2004 zur EMAIL-Verschlüsselung mit GnuPG
  • Feb2004: Start CA OvG-Universität Magdeburg, lokaler Key

Author: Jörg Schulenburg 2004-2024, not resposible for egocms frame, please disable JavaScript for more security and privacy, this site is "No-Script/No-Style/No-CSS"-compatible

Letzte Änderung: 18.03.2025 - Ansprechpartner: