Bitte nutzen Sie den hier beschriebenen Weg wirklich nur, wenn die anderen Wege aus triftigen Gründen ausscheiden.
Bitte klicken Sie auf die Abbildungen, um Sie zu vergrößern.
Bitte ersetzen Sie den Servernamen „xxx.uni-muenster.de“, meine Nutzerkennung „perske“, meine E-Mail-Adressen und meine sonstigen Angaben durch Ihre eigenen Daten.
Diese Anleitung besteht aus drei Teilen:
Zuerst müssen Sie ein Schlüsselpaar erzeugen und eine Zertifikatantragsdatei im PKCS#10-Format erstellen. Beachten Sie dazu bitte die Handbücher Ihrer Server-Software.
Falls Ihre Software eigene Werkzeuge zum Erstellen von Schlüsselpaar und Zertifikatantrag bietet, nutzen Sie bitte diese.
Falls Sie Schlüsselpaar und Zertifikatantrag mit der Software OpenSSL selbst erzeugen sollen, beachten Sie bitte unsere Anleitung zum Verwenden von OpenSSL.
Schauen Sie sich in diesem Fall bitte auch unsere speziellen Anleitungen an, wie Sie vollautomatisch Serverzertifikate erhalten oder zumindest ein Zertifikat mit einem PHP-Skript beantragen können, welches in einem Schritt ein neues Schlüsselpaar erzeugt, die Antragsdatei absendet und das Antragsformular herunterlädt.
Falls Sie Schlüsselpaar und Zertifikatantrag mit dem Java-Keytool erzeugen müssen, beachten Sie bitte unsere Hinweise zum Verwenden von Java Keytool.
In allen Fällen werden Sie nach weiteren Informationen gefragt.
Achten Sie bitte darauf, dass die Schlüssellänge mindestens 2048 Bits beträgt und dass der gewählte Name den strengen Anforderungen der Zertifizierungsrichtlinien entspricht:
Das Attribut „C“ (für Country) muss exakt den
Wert „DE“ enthalten.
Das Attribut „ST“ (für State) muss exakt den
Wert „Nordrhein-Westfalen“ enthalten.
Das Attribut „L“ (für Location) muss exakt den
Wert „Muenster“ enthalten.
Das Attribut „O“ (für Organization) muss exakt
einen der folgenden Werte enthalten:
„Westfälische Wilhelms-Universität
Münster“
„Kunstakademie
Münster - Hochschule fuer Bildende Künste“
Das Attribut „OU“ (für Organizational Unit) muss entfallen.
Das Attribut „CN“ (für Common Name) muss den Rechnernamen mit Domainnamen in Kleinbuchstaben enthalten.
Eine gültige Angabe wäre beispielsweise:
C=DE
ST=Nordrhein-Westfalen
L=Muenster
O=Westfaelische Wilhelms-Universitaet Muenster
CN=www.physikalischetheologie.uni-muenster.de
Diese Anleitung zeigt den Vorgang mit Mozilla Firefox. Viele andere Browser funktionieren genauso gut. (Wir hören allerdings auffällig oft, dass Nutzer mit Apple Safari beim Hochladen von Dateien Probleme haben.)
Sie erreichen den Zertifizierungsserver unter der Kurzadresse „ca.wwu.de“:
Eventuell wird eine Auswahlseite angezeigt, auf der Sie den für Sie zuständigen Zertifizierungsserver auswählen müssen (hier nicht abgebildet).
Die ausführliche Adresse beginnt mit „https://pki.pca.dfn.de/dfn-ca-global-g2/“. Klicken Sie dort bitte auf „Serverzertifikat“:
Auf der dann erscheinenden Seite wählen Sie zuerst die oben
erzeugte Zertifikatrequestdatei xxx.req
aus:
Das voreingestellte Zertifikatprofil „Web Server“ eignet sich nicht nur für WWW-Server, sondern für sämtliche Servertypen, bei denen das Zertifikat ausschließlich zur Annahme eingehender SSL/TLS/StartTLS-Verbindungen benötigt wird: HTTPS, IMAPS, POP3S usw.
Für Servertypen, die auch ausgehende SSL/TLS-Verbindungen zu anderen Servern aufbauen wie SMTP-Transport-Server, eignet sich das Zertifikatprofil „Mail Server“.
Spezielle Servertypen benötigen eventuell spezielle Zertifikatprofile. Im Zweifelsfalle fragen Sie bitte die CA.
(Trotz der Überschrift „Serverzertifikat“ können Sie hier auch alle Arten von Personenzertifikaten beantragen. Wählen Sie dazu bitte das Zertifikatprofil „User“.)
Geben Sie bitte auch Ihre Kontaktdaten an:
Die auszusuchende PIN muss später dann angegeben werden, wenn Sie online beantragen, das Zertifikat vorzeitig zu sperren (dafür können Sie sich aber auch jederzeit an die CA wenden).
Die Verpflichtung zum Einhalten der Regelungen in den Informationen für Zertifikatinhaber ist zwingende Voraussetzung für das Ausstellen eines Zertifikats.
Mit „Weiter“ gelangen Sie auf die nächste Seite. Hier überprüfen Sie alle Eingaben und klicken dann auf „Bestätigen“:
Klicken Sie bitte auf „Zertifikatantrag anzeigen“, um das komplette Antragsformular mit Ihren Daten und diesem Fingerabdruck als PDF-Datei herunterzuladen.
Der in neueren Firefox-Versionen eingebaute PDF-Viewer ist für diese PDF-Datei gut genug:
Sie sehen in der PDF-Datei unter anderem Ihre Antragsnummer und den Fingerabdruck des öffentlichen Schlüssels.
Drucken Sie diese PDF-Datei aus, unterschreiben Sie sie und geben Sie den Antrag persönlich unter Vorlage von Personalausweis oder Reisepass bei einem Teilnehmerservice-Mitarbeiter der CA ab:
Auf der Karte können Sie nachschauen, welche Mitarbeiter in Ihrer Nähe zu finden sind. Die genauen Kontaktangaben finden Sie darunter:
Alternativ könnten Sie die PDF-Datei per digital signierter E-Mail mit der Bitte um Ausstellen des Zertifikats an ca@uni-muenster.de senden. (Dafür benötigen Sie eine persönliche digitale ID.) Das verursacht allerdings zusätzliche Arbeit für die CA-Mitarbeiter.
Das Serverzertifikat wird Ihnen per E-Mail zugeschickt.
Die Zwischen-CA-Zertifikate finden Sie entweder über den entsprechenden Link in der E-Mail oder einfacher auf der Seite CA-Zertifikate in der Tabellenspalte „X.509-Kette“. Sie benötigen normalerweise die Datei „Text (ohne Wurzel)“.
Die weitere Vorgehensweise hängt von Ihrer Server-Software ab: Sie können die PEM-Dateien mit einem einfachen Texteditor in eine Datei zusammenfügen oder auf mehrere Dateien aufteilen. Sie können auch die PEM-Dateien zu einer digitalen ID (PKCS#12-Datei) zusammenbauen oder in verschiedenen Formaten abspeichern.