CA-Zertifikate
Die nachfolgende Tabelle enthält alle jemals eingesetzten
X.509-Zertifikate sowohl von der CA der Universität Münster
als auch von den jeweils übergeordneten Zertifizierungsstellen in
verschiedenen Formaten. Die Jahreszahlen beziehen sich auf den
Einsatzzeitraum, nicht auf den Gültigkeitszeitraum.
Zertifikate werden aus Sicherheitsgründen immer nur für
einen begrenzten Zeitraum eingesetzt, der in den Zertifizierungsrichtlinien
festgelegt wird. Danach kommen neue Zertifikate zum Einsatz. Die alten
Zertifikate bleiben aber bis zum Ende ihrer Lebensdauer gültig und
werden weiterhin zum Überprüfen der damit ausgestellten
Zertifikate benötigt.
Bei Klick auf Import sollte das im Binärformat
übertragene Zertifikat automatisch in Ihr WWW-Programm
übernommen werden. Bei Klick auf Binär sollte das im
gleichen Format übertragene Zertifikat nur abgespeichert werden.
Bei Klick auf Text (.pem) oder Text (.crt) wird der
Schlüssel im PEM-Format zum Abspeichern mit der angegebenen
Dateinamensendung heruntergeladen. Bei Klick auf Binär
(.p7b) wird der Schlüssel im PKCS#7-Format zum Abspeichern mit der
angegebenen Dateinamensendung heruntergeladen.
„TCS“-Zertifikate
GÉANT-TCS verwendet für unterschiedliche
Schlüsselarten (RSA, ECC), unterschiedliche Zertifikatzwecke
(Nutzer, Software-Entwicklung, Server), unterschiedliche Einsatzgebiete
(normal, eScience) und unterschiedliche Antragswege (normal, ACME)
unterschiedliche CA-Zertifikate.
Die Wurzelzertifikate „USERTrust ... Certification
Authority“ sind in allen aktuellen Programmen eingebaut. Sehr
alte Software kennt diese Wurzelzertifikate noch nicht, wohl aber das
Wurzelzertifikat „AAA Certificate Services“ von Commodo
(heute Sectigo). (Nur) Wer als Serverbetreiber darauf angewiesen ist,
dass auch sehr alte Software Verbindungen zu seinem Server aufbauen
kann, sollte die Kette mit dem Cross-Zertifikat verwenden.
„Global“-Zertifikate und Vorgänger
Anmerkungen
Die Spalte X.509 Kette enthält
Dateien mit den Zertifikaten der CA der Universität Münster
und aller übergeordneten Zertifizierungsstellen, einmal mit und
einmal ohne das jeweilige Wurzelzertifikat. Betreiber von
Apache-WWW-Servern sollten die Datei ohne Wurzelzertifikat
herunterladen und in der Konfigurationsoption
SSLCertificateChainFile angeben, um den Nutzern das
Importieren des CA-Zertifikats in den Browser zu ersparen.
Betreiber anderer SSL-/TLS-Server-Software sollten ebenfalls erstens
den privaten Schlüssel des Servers, zweitens das Serverzertifikat
und drittens die Kette ohne Wurzelzertifikat in der Konfiguration ihres
Servers angeben. Bei mancher Software kann es erforderlich sein, diese
drei Teile einfach in dieser Reihenfolge, ggf. durch Leerzeilen
getrennt, hintereinander in eine einfache Textdatei zu kopieren und
diese in der Konfiguration anzugeben.
Im Regelfall sollten das Cross-Zertifikat und das alternative
Wurzelzertifikat nicht mehr benötigt werden. Nur sehr alte
Software kennt die USERTrust-Wurzelzertifikate noch nicht.