Ein Serverzertifikat bestelt aus einem privaten und einem öffentlichen Schlüssel, die mittels asymmetrischer Kryptographie zueinander passen. Der öffentliche Schlüssel, zusammen mit Metainformationen, wie dem Domainnamen, für den das Schlüsselpaar gültig ist, werden in einem Certificate Signing Request (CSR) verpackt und durch eine Certificate Authority (CA) signiert. Das Resultat ist ein öffentliches Serverzertifikat, das ausschließlich mit dem geheimen/privaten Schlüssel verwendet werden kann.
Zur Beantragung eines Serverzertifikats sind zunächst dessen Bestandteile (Schlüsselpaar und Metainformationen) zu generieren. Dies kann mit OpenSSL, das praktisch für alle aktuellen Betriebssystem verfügbar ist, geschehen. Wenn Sie GNU/Linux verwenden, steht Ihnen OpenSSL in aller Regel über den Paketmanager zur Verfügung. Unter Windows können Sie WinOpenSSL verwenden.
Um das Schlüsselpaar und den Certificate Signing Request zu erstellen, verwenden Sie bitte die Konfigurationsdatei der Hochschule Fulda. An dieser Konfigurationsdatei müssen Sie keine Änderungen vornehmen - es seidenn, Sie möchten das Zertifikat mit mehr als nur einen Namen. In diesem Fall geschieht eine Änderung ausschließlich in den Zeilen 46-50!
Geben Sie nun auf der Kommandozeile folgendes Kommando ein, um das Schlüsselpaar zu erzeugen.
openssl req -new -nodes -out server.csr -keyout server.key -config openssl.cnf
Nun werden alle notwendigen Metainformationen abgefragt. Die meisten Informationen dürfen nicht verändert werden. Die Angabe der Abteilung (Organizational Unit Name) ist optional. Unter Common name geben Sie bitte den primären Servernamen ein.
Die Bestandteile, die in diesem Schritt generiert werden sind:
Die Beantragung des Zertifikats erfolgt nun über das Webportal der CA Sectigo: https://cert-manager.com/customer/DFN/ssl/HSFD
Wählen Sie hier unter Your Institution die Organisation „Hochschule Fulda“ aus und melden Sie sich anschließend mit Ihrer fd-Nummer und dem dazugehörigen Passwort an.
Nach erfolgreicher Anmeldung wird Ihnen ein Formular zur Erstellung eines neuen Zertifikats angezeigt.
Wählen Sie zunächst ein Zertifikatprofil und die Laufzeit aus. Es steht jeweils nur eine Auswahl (OV Multi-Domain und 1 Jahr) zur Auswahl.
In das Feld CSR können Sie anschließend den Inhalt ihres zuvor erzeugten Certificate Signing Request kopieren, oder alternativ die .csr Datei mit dem darüberliegenden Button direkt auswählen. Die Felder Common Name und - im Falle eines Multi-Domain Zertifikats - Subject Alternative Names werden anschließend automatisch ausgefüllt.
Unter Comments können Sie einen optionalen Kommentar angeben. Alle sonstigen Felder ignorieren Sie bitte einfach. Schließen Sie den Vorgang durch einen Klick auf Enroll ab.
Die darauf folgende Seite zeigt Ihnen eine Zusammenfassung Ihrer Angaben an. Der Antragsprozess ist damit abgeschlossen und Sie müssen vorerst nichts weiter tun.
Nach Prüfung und Bestätigung ihres Antrags durch einen Administrator im RZ, erhalten Sie eine E-Mail mit den notwendigen Informationen um das fertige Zertifikat herunterzuladen.
Sie können jederzeit auch über den zuvor genannten Link (https://cert-manager.com/customer/DFN/ssl/HSFD) auf alle Ihre Zertifikate zugreifen, diese erneut herunterladen, eine Verlängerung beantragen oder ein gültiges Zertifikat invalidieren (z.B. falls diese nicht länger benötigt wird oder der geheime Schlüssel verloren wurden).
Bitte beachten Sie, dass verschiedenen Möglichkeiten bzw. Formate zum Download zur Verfügung stehen.
Typ | Beschreibung |
---|---|
Certificate only, PEM encoded | Diese Datei enthält nur Ihr Zertifikat. |
Certificate (w/ issuer after), PEM encoded | Diese Datei enthält Ihr Zertifikat inklusive der Zertifikatskette (Intermediate Zertifikate). |
Certificate (w/ chain), PEM encoded | Diese enthält Ihr Zertifikat inklusive der Zertifikatskette (Intermediate Zertifikate) und dem CA-Zertifikat. Achtung: Leider ist die Reihenfolge der Zertifikate in der Datei genau falsch herum. |