Serverzertifikat beantragen

Ein Serverzertifikat bestelt aus einem privaten und einem öffentlichen Schlüssel, die mittels asymmetrischer Kryptographie zueinander passen. Der öffentliche Schlüssel, zusammen mit Metainformationen, wie dem Domainnamen, für den das Schlüsselpaar gültig ist, werden in einem Certificate Signing Request (CSR) verpackt und durch eine Certificate Authority (CA) signiert. Das Resultat ist ein öffentliches Serverzertifikat, das ausschließlich mit dem geheimen/privaten Schlüssel verwendet werden kann.

Speichern Sie den privaten Schlüssel nur auf Ihrem Server und erzeugen Sie ein Backup an einem sicheren Ort. Geben Sie den privaten Schlüssel niemals weiter und informieren Sie umgehend das Rechenzentrum, falls Sie den Schlüssel verlieren oder Grund zu der Annahme haben, dass dieser entwendet wurde!


Zur Beantragung eines Serverzertifikats sind zunächst dessen Bestandteile (Schlüsselpaar und Metainformationen) zu generieren. Dies kann mit OpenSSL, das praktisch für alle aktuellen Betriebssystem verfügbar ist, geschehen. Wenn Sie GNU/Linux verwenden, steht Ihnen OpenSSL in aller Regel über den Paketmanager zur Verfügung. Unter Windows können Sie WinOpenSSL verwenden.


Konfigurationsdatei

Um das Schlüsselpaar und den Certificate Signing Request zu erstellen, verwenden Sie bitte die Konfigurationsdatei der Hochschule Fulda. An dieser Konfigurationsdatei müssen Sie keine Änderungen vornehmen - es seidenn, Sie möchten das Zertifikat mit mehr als nur einen Namen. In diesem Fall geschieht eine Änderung ausschließlich in den Zeilen 46-50!


Dateien erstellen

Geben Sie nun auf der Kommandozeile folgendes Kommando ein, um das Schlüsselpaar zu erzeugen.

  openssl req -new -nodes -out server.csr -keyout server.key -config openssl.cnf

Nun werden alle notwendigen Metainformationen abgefragt. Die meisten Informationen dürfen nicht verändert werden. Die Angabe der Abteilung (Organizational Unit Name) ist optional. Unter Common name geben Sie bitte den primären Servernamen ein.

Die Bestandteile, die in diesem Schritt generiert werden sind:

  • Certificate Signing Request (Datei server.csr, zum Hochladen auf die Antrags-Webseite)
  • Privater Schlüssel des Server-Zertifikats (Datei server.key)


Die Beantragung des Zertifikats erfolgt nun über das Webportal der CA Sectigo: https://cert-manager.com/customer/DFN/ssl/HSFD

Wählen Sie hier unter Your Institution die Organisation „Hochschule Fulda“ aus und melden Sie sich anschließend mit Ihrer fd-Nummer und dem dazugehörigen Passwort an.

Nach erfolgreicher Anmeldung wird Ihnen ein Formular zur Erstellung eines neuen Zertifikats angezeigt.

Sollte das Formular nicht automatisch angezeigt werden, liegt dies vermutlich daran, dass Sie bereits andere Zertifikate ausgestellt haben und daher zunächst eine Übersicht angezeigt wird. Klicken Sie in diesem Fall auf Enroll Certificate.
Das Formular muss bzw. kann nicht vollständig ausgefüllt werden.

Wählen Sie zunächst ein Zertifikatprofil und die Laufzeit aus. Es steht jeweils nur eine Auswahl (OV Multi-Domain und 1 Jahr) zur Auswahl.

In das Feld CSR können Sie anschließend den Inhalt ihres zuvor erzeugten Certificate Signing Request kopieren, oder alternativ die .csr Datei mit dem darüberliegenden Button direkt auswählen. Die Felder Common Name und - im Falle eines Multi-Domain Zertifikats - Subject Alternative Names werden anschließend automatisch ausgefüllt.

Unter Comments können Sie einen optionalen Kommentar angeben. Alle sonstigen Felder ignorieren Sie bitte einfach. Schließen Sie den Vorgang durch einen Klick auf Enroll ab.

Die darauf folgende Seite zeigt Ihnen eine Zusammenfassung Ihrer Angaben an. Der Antragsprozess ist damit abgeschlossen und Sie müssen vorerst nichts weiter tun.


Nach Prüfung und Bestätigung ihres Antrags durch einen Administrator im RZ, erhalten Sie eine E-Mail mit den notwendigen Informationen um das fertige Zertifikat herunterzuladen.

Sie können jederzeit auch über den zuvor genannten Link (https://cert-manager.com/customer/DFN/ssl/HSFD) auf alle Ihre Zertifikate zugreifen, diese erneut herunterladen, eine Verlängerung beantragen oder ein gültiges Zertifikat invalidieren (z.B. falls diese nicht länger benötigt wird oder der geheime Schlüssel verloren wurden).


Bitte beachten Sie, dass verschiedenen Möglichkeiten bzw. Formate zum Download zur Verfügung stehen.

Typ Beschreibung
Certificate only, PEM encoded Diese Datei enthält nur Ihr Zertifikat.
Certificate (w/ issuer after), PEM encoded Diese Datei enthält Ihr Zertifikat inklusive der Zertifikatskette (Intermediate Zertifikate).
Certificate (w/ chain), PEM encoded Diese enthält Ihr Zertifikat inklusive der Zertifikatskette (Intermediate Zertifikate) und dem CA-Zertifikat. Achtung: Leider ist die Reihenfolge der Zertifikate in der Datei genau falsch herum.
Für die Verwendung mit einem Webserver ist in der Regel Certificate (w/ issuer after), PEM encoded die richtige Option.
  • docs/dfnpki/server.txt
  • Zuletzt geändert: 18.01.2023 13:41
  • von Sven Reissmann