Beantragen eines X.509-Server-Zertifikats

Stand: 15.01.2013

Diese Anleitung setzt voraus, dass Sie in der Lage sind, ein Schlüsselpaar und eine Zertifizierungsanfrage (Certification Request) zu erzeugen und später Schlüsselpaar und Zertifikat in Ihre Software zu integrieren. Hinweise finden Sie in aller Regel in den Handbüchern oder Installationsanleitungen der Software, mit der Sie das Zertifikat einsetzen möchten. Einzutippende Befehle könnten je nach Software etwa so aussehen:

Mit OpenSSL:
openssl req -new -newkey rsa:2048 -nodes -out xxx-req.pem -keyout xxx-key.pem

Mit dem Java-Keytool:
Keytool -genkey -alias xxx -keyalg RSA -keysize 2048
Keytool -certreq -keyalg RSA -keysize 2048 -alias xxx -file xxx-req.pem

In beiden Beispielen enthält anschließend die Datei xxx-req.pem den Certification Request.

In besonderen Fällen kann das Zentrum für Informationsverarbeitung einen Schlüssel für Sie erzeugen und durch die WWUCA zertifizieren lassen, so dass Sie den fertig zertifizierten Schlüssel nur noch persönlich abholen müssen, um sie dann selbst in Ihre Software zu integrieren.

Voraussetzungen

Achten Sie bei der Schlüsselgenerierung bitte darauf, dass die Schlüssellänge mindestens 2048 Bits beträgt. Achten Sie beim Erstellen der Zertifizierungsanfrage darauf, dass der gewählte Name den strengen Anforderungen der Zertifizierungsrichtlinien entspricht:

  • Das Attribut »C« (für Country) muss exakt den Wert »DE« enthalten.

  • Das Attribut »ST« (für State) muss exakt den Wert »Nordrhein-Westfalen« enthalten.

  • Das Attribut »L« (für Location) muss exakt den Wert »Muenster« enthalten.

  • Das Attribut »O« (für Organization) muss exakt den Wert »Universitaet Muenster« oder den Wert »Universitaetsklinikum Muenster« oder den Wert »Kunstakademie Muenster« enthalten.

  • Das Attribut »OU« (für Organizational Unit) darf entfallen oder genau einmal angegeben werden und sollte dann die Einrichtung enthalten. Umlaute sind zwingend als ae/oe/ue/ss zu schreiben, als Satzzeichen sind nur »'()+,-./:=?« erlaubt. Abkürzungen sind zu vermeiden.

  • Das Attribut »CN« (für Common Name) muss den Rechnernamen mit Domainnamen in Kleinbuchstaben enthalten.

  • Im Certification Request oder spätestens beim Upload muss eine E-Mail-Adresse aus den Bereichen uni-muenster.de, ukmuenster.de, wwu.de oder kunstakademie-muenster.de angegeben werden.

Eine gültige Angabe wäre beispielsweise:

C=DE
ST=Nordrhein-Westfalen
L=Muenster
O=Universitaet Muenster
OU=Universitaets- und Landesbibliothek
CN=www.ulb.uni-muenster.de
emailAddress=ulb@uni-muenster.de

Die Datei mit dem Certification Request muss im so genannten PEM-Format vorliegen.

Beantragung

Starten Sie Ihr WWW-Programm und rufen Sie die folgende Adresse auf:

http://wwu-ca.uni-muenster.de

(Sie werden auf die abhörsichere Seite https://pki.pca.dfn.de/wwu-ca/cgi-bin/pub/pki?cmd=getStaticPage&name=index weitergeleitet.)

Klicken Sie in der Navigationsleiste unter Zertifikate auf Serverzertifikat.

Abbildung 1

Füllen Sie das Formular aus.

Als erstes ist die Datei mit dem Certification Request zum Upload auszuwählen.

Abbildung 2

Achten Sie darauf, die Datei mir dem Certification Request auszuwählen, nicht die Datei mit dem geheimen Schlüssel.

Abbildung 3

Für alle üblichen Zwecke, also nicht nur HTTPS-Server, sondern auch POP3S-Server, IMAPS-Server, NNTPS-Server usw. ist das Zertifikatsprofil »Web Server« auszuwählen. Nur bei besonderen kryptographischen Anforderungen spielen die anderen Zertifikatsprofile eine Rolle.

Als E-Mail-Adresse müssen Sie eine gültige Adresse aus dem Bereich der Universität (...@uni-muenster.de, ...@wwu.de), des Universitätsklinikums (...@ukmuenster.de) oder der Kunstakademie (...@kunstakademie-muenster.de) angeben.

Den Namen schreiben Sie bitte so wie in Ihrem Personalausweis, Umlaute allerdings müssen als ae oe ue ss geschrieben werden. Falls Sie mehrere Vornamen haben, brauchen Sie nur den Rufnamen auszuschreiben, weitere Vornamen dürfen Sie abkürzen oder weglassen. Ein Doktortitel oder sonstiger Zusatz darf nur angegeben werden, wenn er auch in Ihrem Personalausweis steht.

Eine Organisationseinheit sollten Sie nur dann angeben, wenn diese Angaben aus dienstlichen Gründen wünschenswert erscheint. Auch hier müssen Umlaute als ae oe ue ss geschrieben werden.

Abbildung 4

Eine PIN benötigen Sie, um das Zertifikat später widerrufen zu können. Falls Sie der Veröffentlichung nicht zustimmen, benötigen Sie die PIN auch, ob das Zertifikat überhaupt importieren zu können.

Den Zertifizierungsrichtlinien müssen Sie zustimmen oder auf das Zertifikat verzichten.

Es macht selten Sinn, ein offizielles Zertifikat zu beantragen, dieses aber nicht zu veröffentlichen.

Klicken Sie dann auf Weiter.

Abbildung 5

Kontrollieren Sie ...

Abbildung 6

... noch einmal alle Daten. Mit Ändern gelangen Sie zurück zur vorherigen Seite; mit Bestätigen starten Sie die Erzeugung des Schlüsselpaars und Übertragung des öffentlichen Schlüssels zwecks Zertifizierung an die WWUCA.

Abbildung 7

Damit die WWUCA überprüfen kann, dass der übertragene Schlüssel wirklich Ihnen gehört, müssen Sie noch ein Antragsformular ausdrucken. Falls Sie keinen Drucker haben, ...

Abbildung 8

... notieren Sie sich bitte zumindest Antragsnummer, Public Key Fingerprint und Schlüssellänge auf einem Blatt Papier.

Kontrollieren Sie die vorgedruckten Angaben und ...

Abbildung 9

... vervollständigen Sie die weiteren Angaben. (Diese werden von der WWUCA für Revisionszwecke archiviert, aber nicht elektronisch erfasst.)

Unterschreiben Sie den Antrag und geben Sie ihn bei einer der auf der Kontaktseite genannten Registrierungsstellen ab. Dabei müssen Sie Ihren Personalausweis oder Reisepass vorzeigen.

Antrag und Ausweis nicht vergessen!

Nach wenigen Arbeitstagen erhalten Sie eine E-Mail von ca@uni-muenster.de mit Ihrem Zertifikat.

Abbildung 10

Einbau in den Server

Sinnvollerweise sollte Ihr SSL-/TLS-Server nicht nur sein eigenes Zertifikat ausliefern, sondern zusätzlich alle CA-Zertifikate aus der Zertifizierungskette. Eine PEM-Datei mit diesen CA-Zertifikaten finden Sie in der Tabelle auf der WWW-Seite WWUCA-Schlüssel in der Spalte X.509-Kette. Beispielsweise können beim Webserver Apache die folgenden Anweisungen verwendet werden:

SSLCertificateKeyFile PEM-Datei mit geheimem Schlüssel
SSLCertificateFile PEM-Datei mit Server-Zertifikat
SSLCertificateChainFile PEM-Datei mit allen CA-Zertifikaten

Zahlreiche SSL-/TLS-Server-Software-Produkte bieten keine Möglichkeit, eine getrennte Datei mit den CA-Zertifikaten anzugeben, dann sollten Sie probieren, mit einem einfachen Texteditor Server-Zertifikat und CA-Zertifikate (in dieser Reihenfolge) in eine einzige PEM-Datei zu schreiben und diese in der Konfiguration anzugeben.

Diese Seite:
Impressum | © 2010 Universität Münster
Zentrum für Informationsverarbeitung (ZIV)
Zertifizierungsstelle der Universität Münster (WWUCA) · 48149 Münster
 Tel.: +49 251 83-31600 · Fax: +49 251 83-31555
 E-Mail: