Hinweis

Für einen längeren Übergangszeitraum bieten wir (WWU IT + WWUCA + DFN-PKI) weltweit anerkannte digitale IDs (Zertifikate) von zwei verschiedenen Anbietern an.

  • Die schon länger angebotenen digitalen IDs mit „Global“-Zertifikaten basieren auf dem Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ der T-Systems Enterprise Services GmbH.
    Dieses Angebot läuft voraussichtlich für Serverzertifikate Ende 2022 und für andere Zertifikate Ende 2023 aus.

  • Die jetzt ebenfalls angebotenen digitalen IDs mit „TCS“-Zertifikaten vom Trusted Certificate Service (TCS) des paneuropäischen Forschungsnetzes GÉANT basieren auf den Wurzelzertifikaten von Sectigo.

Die digitalen IDs „TCS“ haben drei Vorteile: Für viele Nutzer ist keine erneute Ausweiskontrolle nötig, es fällt kein Papierkram an und digitale IDs von Servern können per ACME vollautomatisch verlängert werden.

(„TCS“-IDs werden nur für Universität und Kunstakademie angeboten werden, nicht für das Universitätsklinikum, welches aktuell ein eigenes auf GÉANT TCS basierendes Angebot aufbaut.)

CA-Zertifikate

Die nachfolgende Tabelle enthält alle jemals eingesetzten X.509-Zertifikate sowohl von der WWUCA als auch von den jeweils übergeordneten Zertifizierungsstellen in verschiedenen Formaten. Die Jahreszahlen beziehen sich auf den Einsatzzeitraum, nicht auf den Gültigkeitszeitraum.

Zertifikate werden aus Sicherheitsgründen immer nur für einen begrenzten Zeitraum eingesetzt, der in den Zertifizierungsrichtlinien festgelegt wird. Danach kommen neue Zertifikate zum Einsatz. Die alten Zertifikate bleiben aber bis zum Ende ihrer Lebensdauer gültig und werden weiterhin zum Überprüfen der damit ausgestellten Zertifikate benötigt.

Bei Klick auf Import sollte das im Binärformat übertragene Zertifikat automatisch in Ihr WWW-Programm übernommen werden. Bei Klick auf Binär sollte das im gleichen Format übertragene Zertifikat nur abgespeichert werden. Bei Klick auf Text (.pem) oder Text (.crt) wird der Schlüssel im PEM-Format zum Abspeichern mit der angegebenen Dateinamensendung heruntergeladen.

„TCS“-Zertifikate

GÉANT-TCS verwendet für unterschiedliche Schlüsselarten (RSA, ECC), unterschiedliche Zertifikatzwecke (Nutzer, Software-Entwicklung, Server), unterschiedliche Einsatzgebiete (normal, eScience) und unterschiedliche Antragswege (normal, ACME) unterschiedliche CA-Zertifikate.

Die Wurzelzertifikate „USERTrust ... Certification Authority“ sind in allen aktuellen Programmen eingebaut. Sehr alte Software kennt diese Wurzelzertifikate noch nicht, wohl aber das Wurzelzertifikat „AAA Certificate Services“ von Commodo (heute Sectigo). (Nur) Wer als Serverbetreiber darauf angewiesen ist, dass auch sehr alte Software Verbindungen zu seinem Server aufbauen kann, sollte die Kette mit dem Cross-Zertifikat verwenden.

 

X.509 GÉANT-TCS

X.509 Wurzel-CA

X.509 Alternative Wurzel-CA

X.509 Kette (s. u.)

Jetzt

2021

User-RSA-Zertifikate:
GEANT Personal CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

USERTrust RSA Certification Authority

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Oder als Cross-Zertifikat von der alternativen Wurzel-CA:

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

AAA Certificate Services

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

User-eScience-RSA-Zertifikate:
GEANT eScience Personal CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Code-Signing-RSA-Zertifikate: GEANT Code Signing CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Server-RSA-Zertifikate:
GEANT OV RSA CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Server-eScience-RSA-Zertifikate:
GEANT eScience SSL CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Server-RSA-Zertifikate per ACME:
Sectigo RSA Organization Validation Secure Server CA

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

User-ECC-Zertifikate:
GEANT Personal ECC CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

USERTrust ECC Certification Authority

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Oder als Cross-Zertifikat von der alternativen Wurzel-CA:

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

User-eScience-ECC-Zertifikate:
GEANT eScience Personal ECC CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Server-ECC-Zertifikate:
GEANT OV ECC CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Server-eScience ECC-Zertifikate:
GEANT eScience SSL ECC CA 4

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

Server-ECC-Zertifikate per ACME:
Sectigo ECC Organization Validation Secure Server CA

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Oder mit dem Cross-Zertifikat:

Text (mit Wurzel)
Text (ohne Wurzel)

„Global“-Zertifikate und Vorgänger

 

X.509 WWUCA

X.509 DFN-PCA

X.509 Wurzel-CA

X.509 Kette (s. u.)

Jetzt

2016

DFN-Verein Global Issuing CA

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

DFN-Verein Certification Authority 2

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

T-TeleSec GlobalRoot Class 2

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Text (aktuelle und historische CA-Zertifikate)

2016

2014

Zertifizierungsstelle Universitaet Muenster - G02

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

DFN-Verein PCA Global - G01

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Deutsche Telekom Root CA 2

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

2014

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

(widerrufen)

Text (mit Wurzel)
Text (ohne Wurzel)

(widerrufen)

2014

2007

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

2007

2006

Zertifizierungsstelle Universitaet Muenster (Classic) 2006-2007

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

DFN-Verein PCA Classic - G01

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

2005

2004

Zertifizierungsstelle 2004-2005

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

DFN Toplevel Certification Authority

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

2003

2002

Zertifizierungsstelle 2002-2003

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

2001

2000

Zertifizierungsstelle 2002-2003

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

DFN Top Level Certification Authority

Import (.der)
Import (.cer)
Binär
Text (.pem)
Text (.crt)

Text (mit Wurzel)
Text (ohne Wurzel)

Anmerkungen

Die Spalte X.509 Kette enthält Dateien mit den Zertifikaten der WWUCA und aller übergeordneten Zertifizierungsstellen, einmal mit und einmal ohne das jeweilige Wurzelzertifikat. Betreiber von Apache-WWW-Servern sollten die Datei ohne Wurzelzertifikat herunterladen und in der Konfigurationsoption SSLCertificateChainFile angeben, um den Nutzern das Importieren des WWUCA-Zertifikats in den Browser zu ersparen.

Betreiber anderer SSL-/TLS-Server-Software sollten ebenfalls erstens den privaten Schlüssel des Servers, zweitens das Serverzertifikat und drittens die Kette ohne Wurzelzertifikat in der Konfiguration ihres Servers angeben. Bei mancher Software kann es erforderlich sein, diese drei Teile einfach in dieser Reihenfolge, ggf. durch Leerzeilen getrennt, hintereinander in eine einfache Textdatei zu kopieren und diese in der Konfiguration anzugeben.

Im Regelfall sollten das Cross-Zertifikat und das alternative Wurzelzertifikat nicht mehr benötigt werden. Nur sehr alte Software kennt die USERTrust-Wurzelzertifikate noch nicht.

 

OpenPGP

Der Vollständigkeit halber finden Sie hier auch alle früher zur Zertifizierung eingesetzten OpenPGP-Schlüssel.

 

PGP WWUCA

PGP DFN-PCA

 

(Betrieb Ende 2011 eingestellt)

(Betrieb Ende 2009 einge­stellt)

2011 ← 2010

Text

2009 ← 2008

Text

Text

2007 ← 2006

Text

2005 ← 2004

Text

Text

2003 ← 2002

Text

Text

2001

Text

Text

2000

Text

1999

Text
(Vorläufer)

1998 ← 1997

Text