Antrag auf ein Server-Zertifikat

Wenn Sie verantwortlicher Betreiber eines Servers im von der WWUCA versorgten Bereich sind, dann können Sie ein Server-Zertifikat beantragen und damit den Nutzern Ihres Servers ermöglichen, sichere Verbindungen zum Server aufzubauen.

Als verantwortliche Betreiber zählen der „Leitend Verantwortliche“ und der „Technisch Verantwortliche“ eines Servers laut zentraler Rechnerdatenbank der Universität Münster bzw. zuständiger NIC-Datenbank. Anträge Dritter werden nur mit deren Einverständnis akzeptiert.

Vorbereiten des Antrags

Zuerst müssen Sie ein Schlüsselpaar erzeugen und eine Zertifikatantragsdatei im PKCS#10-Format erstellen. Beachten Sie dazu bitte die Handbücher Ihrer Server-Software.

Falls Ihre Software eigene Werkzeuge zum Erstellen von Schlüsselpaar und Zertifikatantrag bietet, nutzen Sie bitte diese.

Falls Sie Schlüsselpaar und Zertifikatantrag mit der Software OpenSSL selbst erzeugen sollen, können Sie den folgenden Befehl verwenden. Der private Schlüssel wird dabei unverschlüsselt in xxx-key.pem und der Zertifikatantrag im benötigten PKCS#10-Format in xxx-req.pem gespeichert:

(Natürlich sollten Sie xxx durch einen sinnvollen Namen ersetzen.)

openssl req -new -newkey rsa:2048 -out xxx-req.pem -keyout xxx-key.pem

Der private Schlüssel wird dabei passwort-verschlüsselt gespeichert. Wenn Sie das nicht möchten, geben Sie zusätzlich die Option -nodes an. Mit dem folgenden Befehl können Sie aber auch später eine unverschlüsselte Datei erstellen:

openssl rsa -in xxx-key.pem -nodes -out xxx-key-unsafe.pem

Falls Sie Schlüsselpaar und Zertifikatantrag mit dem Java-Keytool erzeugen müssen, verwenden Sie die folgenden zwei Befehle. Der pivate Schlüssel wird dabei im Java-Keystore und und der Zertifikatantrag im benötigten PKCS#10-Format in xxx-req.pem gespeichert:

Keytool -genkey -alias xxx -keyalg RSA -keysize 2048
Keytool -certreq -keyalg RSA -keysize 2048 -alias xxx -file xxx-req.pem

In allen Fällen werden Sie nach weiteren Informationen gefragt.

Achten Sie bitte darauf, dass die Schlüssellänge mindestens 2048 Bits beträgt und dass der gewählte Name den strengen Anforderungen der Zertifizierungsrichtlinien entspricht:

  • Das Attribut „C“ (für Country) muss exakt den Wert „DE“ enthalten.

  • Das Attribut „ST“ (für State) muss exakt den Wert „Nordrhein-Westfalen“ enthalten.

  • Das Attribut „L“ (für Location) muss exakt den Wert „Muenster“ enthalten.

  • Das Attribut „O“ (für Organization) muss exakt einen der folgenden Werte enthalten:
    Westfaelische Wilhelms-Universitaet Muenster
    Universitaetsklinikum Muenster
    Kunstakademie Muenster - Hochschule fuer Bildende Kuenste

  • Das Attribut „OU“ (für Organizational Unit) darf nur für zentrale Systeme entfallen, muss ansonsten angegeben werden und sollte dann die Organisationseinheit benennen. Verwenden Sie dann bitte keinesfalls für Außenstehende unverständliche Abkürzungen wie „THG“, sondern die korrekte Bezeichnung wie „Klinik und Poliklinik fuer Thorax-, Herz- und Gefaesschirurgie“. Umlaute sind zwingend als ae/oe/ue/ss zu schreiben, als Satzzeichen sind nur „'()+,-./:=?“ erlaubt. Abkürzungen sind zu vermeiden, bei überlangen Bezeichnungen (über 64 Zeichen) sind verständliche Abkürzungen zulässig.

  • Das Attribut „CN“ (für Common Name) muss den Rechnernamen mit Domainnamen in Kleinbuchstaben enthalten.

Eine gültige Angabe wäre beispielsweise:

C=DE
ST=Nordrhein-Westfalen
L=Muenster
O=Westfaelische Wilhelms-Universitaet Muenster
OU=Universitaets- und Landesbibliothek
CN=www.ulb.uni-muenster.de

Absenden des Antrags

Um den Zertifikatantrag (nicht den privaten Schlüssel!) an die WWUCA zu übermitteln, gehen Sie bitte auf ca.wwu.de auf die WWW-Seiten unseres Zertifizierungsservers und dort unter „Zertifikate“ auf „Serverzertifikat“.

Auf dieser Seite laden Sie bitte die Zertifikatantragsdatei hoch, wählen Sie das benötigte Zertifikatprofil aus und füllen Sie die weiteren Eingabefelder aus.

Sofern das Zertifikat nur dafür benötigt wird, dass Client-Rechner sichere Verbindungen zum Server aufbauen können (egal ob HTTPS, IMAPS, SMTP mit StartTLS usw.), passt das voreingestellte Zertifikat-Profil „Web-Server“. Falls Sie Sie ein anderes Profil benötigen, beachten Sie bitte die Beschreibung der Zertifikatprofile in der DFN-PKI oder lassen Sie sich von der WWUCA beraten.

Auf der folgenden Seite überprüfen und bestätigen Sie alle Angaben. Danach müssen Sie ein Antragsformular ausdrucken, unterschreiben und persönlich unter Vorlage von Reisepass oder Personalausweis bei einem Teilnehmerservice-Mitarbeiter abgeben.