SSL/TLS/SMIME-Zertifikate der Otto-von-Guericke-Universität Magdeburg

Dieser Service (Teilnehmerservice TS) dient der Erstellung elektronischer Zertifikate (z.B. EMAIL-SMIME, Webserver-HTTPS, GRID) für Mitglieder der Otto-von-Guericke-Universität Magdeburg nach den Richtlinien der Zertifizierungsinstanz des Vereins zur Förderung des Deutschen Forschungsnetzes e.V. (DFN-PCA).

Achtung! Zertifikate können nur für der OvGU gehörenden Domains (ovgu.de und uni-magdeburg.de) ausgestellt werden und müssen der universitären Forschung dienen. Nutzer und Serverzertifikate für das Niveau Global der DFN-PCA beantragen Sie bitte für die verschiedenen Teilnehmerservices (früher Registrations-Authorities (RAs)) auf einer der folgenden Webseiten:

  • ACHTUNG! folgende Weblinks ändert sich etwa jährlich
  • ab 2016-12 bis max. 2031-02 gültig:

Persönliche Zertifikate (SMIME) können mit Webbrowser Firefox o.ä. erzeugt werden. Webzertifikate bitte mit OpenSSL erzeugen und auf der DFN-PCA-Webseite hochladen. Mit den ausgedruckten und unterschriebenen Anträgen gehen Sie bitte zu den oben aufgeführten Stellen des Teilnehmerservices zur Überprüfung der Antragsdaten (bitte Ausweis mitbringen).

Beantragung eines EUGrid-Zertifikats (ab 2007)

Achtung! Diese Zertifikate gelten nur für das Grid, ein Verbund für die gemeinsame Nutzung von Rechenressourcen. Bitte hier keine Anträge für normale Webzertifikate stellen. Nutzer und Serverzertifikate für das Grid der DFN-PCA beantragen Sie bitte hier für Grid-Nutzer und hier für Grid-Server.

Erzeugen eines SSL-Serverzertifikats mit OpenSSL (ab 2007)

HINWEIS: Nutzerzertifikate können auch ohne folgende Anleitung direkt mit dem (persönlichen) Webbrowser erzeugt werden (Link siehe oben).

 1) Lesen Sie Policy "Global" des DFN DFN-PCA)
 2) Schluessel erzeugen (man genrsa)
    openssl genrsa -out user.key 2048
    # -rand ~/.gnupg/random_seed wenn moeglich (bessere Zufallszahl) 
    # -des3 nur fuer verschluesselten Key (Passphrase benoetigt)
 3) Certificationrequest generieren (PKCS#10-Zertifikatantrag)
    openssl req -new -out user.csr -key user.key
    # optional alternative Namen:      (zugefuegt 2016-02)
    #   see https://blog.pki.dfn.de/2015/12/openssl-csr-fuer-\
    #       ein-ssl-server-zertifikat-mit-mehreren-host-namen-erzeugen/
    # auch ueber Kommandozeile moeglich (Link ganz unten)
    #   cp /etc/ssl/openssl.cnf my.cnf
    #   edit my.cnf
    #     add "req_extensions = v3_req" to "[ req ]"
    #     add "subjectAltName=@alt_names"  to "[ v3_req ]"
    #     add "[alt_names]" + "DNS.1 = mame1.ovgu.de" + "DNS.2 = name2.ovgu.de"
    #   openssl req -new -out user.csr -key user.key -config my.cnf
    # Eingabebeispiel:
    # - DN.C=DE
    # - DN.ST=Sachsen-Anhalt
    # - DN.L=Magdeburg
    # - DN.O=Otto-von-Guericke-Universitaet Magdeburg
    # - DN.OU=Fakultaet/Institut       # keine Umlaute verwenden!
    # - DN.CN=www.meinserver.de        # Server (SSL) bzw. Ihr Name (S/MIME)
    #   bei Usern Titel+Name nur wie im Ausweis!
    #   Gruppen und Pseudonyme muessen mit GRP: bzw. PN: beginnen
    # - DN.Email=user@uni-magdeburg.de # Ihre EMAIL
    # - challenge.pwd=xxxx
    # - opt_company_name=.
    # Fingerprint notieren
    openssl req -noout -modulus -in user.csr | openssl sha1 -c
    # neu2017: Online-Antrag (Links s.o.) ausfuellen und ausdrucken.
 4) Zertifizierung durch die CA (persoenliches Treffen mit der RA,
    Ausweis mitbringen)
 5) Zertifikat pruefen und einspielen, z.B: 
    openssl req -noout -text -verify -in user.csr
    # SSL-Server (siehe ssl.conf SSLCertificateFile)
    export CFG=/usr/local/apache/conf    # FC6: /etc/httpd/conf.d/
    cp user.key $CFG/ssl.key/server.key
    cp user.pem $CFG/ssl.crt/server.crt  # von CA-signiert ggf. CA-Kette anhaengen
    ### CentOS-6.4: see /etc/sysconfig/httpd + /etc/httpd/conf.d/ssl.conf
    cp user.key /etc/pki/tls/private/localhost.key
    cp user.pem /etc/pki/tls/certs/localhost.crt
    # copy chain to /etc/pki/tls/certs/server-chain.crt
    # Datei-Zugriffsrechte fuer httpd beachten!
    # Wenn abweichend, bitte EMAIL mit Korrektur an mich
 6) Webserver mit Zertifikat nach Restart testen
    openssl s_client -connect www.meinserver.de:443 -showcerts
    # es muss die gesamte Zertifikatskette angezeigt werden
 

Aktuelles+Historie:

  • Nov2017: Abschaltung Uni-CA, Nutzung DFN-CA, Umbenennung Registration Authority (RA) in Teilnehmerservice der OVGU
  • Jan2017: Zertifikatskette G2(SHA2 bis max. Feb2031), Rootzertifikat zum Import: .crt, .der
  • Jan2017: Neues Root-Zertifikats G2 mit SHA2, siehe faq-umstellung-sha-2 der DFN-PKI. Anmerkung: SHA1 im Root-Zertifikat cryptologisch bedeutungslos.
  • Mai2014: SHA2-SSL/TLS-Zertifikatskette pki.pca.dfn.de bis max. Jul2019, Rootzertifikat zum Import: .crt, .der
  • Apr2014: Etwa 7 vom openssl-1.0.1-Bug betroffende Systeme, Zertifikate getauscht.
  • Jan2010: Stilllegung der PGP-DFN-CA wegen mangelnder Nachfrage (3 Unis)
  • Jul2009: Aufnahme Telekom Root Zertifikat in FireFox-3.5, Root der DFN-PCA
  • Sep2008: DFN-PCA von Apple-Systemen unterstützt
  • Feb2007: ausgelagerte Zertifizierungsstelle (CA, Key bei DFN-PKI) und Registrierungsstelle (RA) für Sicherheitslevel Global in Betrieb genommen. Das Wurzelzertifikat (Root) ist die Deutsche Telekom Root CA 2 G01 und Bestandteil des IE-7 sein.
  • Feb2007: EuGrid-RA in Betrieb genommen.
  • Apr2006: Neuer PGP Zertifizierungsschlüssel der CA-OvGUM
  • URZ-Kurs vom 14.04.2004 zur EMAIL-Verschlüsselung mit GnuPG
  • Feb2004: Start CA OvG-Universität Magdeburg, lokaler Key

Author: Jörg Schulenburg 2004-2017

Letzte Änderung: 24.09.2018 - Ansprechpartner:

Sie können eine Nachricht versenden an:
Sicherheitsabfrage:
Captcha
 
Lösung: