Serverzertifikate
Beantragen eines Serverzertifikats
Mit einem SSL-Serverzertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Einem Nutzer wird es so möglich - im Gegensatz zu selbst signierten Zertifikaten - die Authenzität eines Servers zweifelsfrei nachzuvollziehen. Somit können Angriffszenarien wie Man-in-the-Middle Angriffe effektiv verhindert werden. Ebenfalls wird dem Nutzer (nach dem Import des Wurzelzertifikats) keine Zertifikatsfehler mehr angezeigt.
SSL-Server-Zertifikate können nur für Server der Universität Würzburg erstellt werden. Der DNS-Name des Dienstes muss auf *.uni-wuerzburg.de enden. Zur Bearbeitung eines Zertifikatantrags muss der Registrierungsstelle ein Akkreditierungsschreiben des IT-Bereichsmanagers des jeweiligen Fachbereichs/der zentralen Einrichtung vorliegen. Vor der Erteilung des Zertifikats muss die Identität des Zertifikatnehmers durch die Registrierungsstelle festgestellt werden.
Die Serverzertifikate sind ab der Ausstellung 12 Monate gültig.
Schritte zum Serverzertifikat:
1. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifikatantrags
Die Erzeugung eines Schlüsselpaares und die Erstellung des Zertifikatsantrags (Certificate Signing Request, CSR) kann mit den Tools der jeweiligen Serversoftware oder mit OpenSSL durchgeführt werden. Bei der Verwendung von OpenSSL verwenden Sie bitte die angepasste openssl.config. (Zuletzt aktualisiert: 13.01.2022)
Dabei sind folgende Werte zu beachten:
- Der private Schlüssel sollte eine Länge von mindestens 4096 Bit haben.
- Der bei der Erstellung des CSR anzugebende eindeutige Name (Distinguished Name, DN) muss folgende Teile enthalten:
C=DE
L=Wuerzburg
ST=Bayern
O=Julius-Maximilians-Universitaet Wuerzburg
CN=<vollständiger DNS-Name des Serverdienstes>
Zu beachten: Aufgrund von Vorgaben des CA/Browser-Forums darf bei neuen Serverzertifikaten kein OU-Attribut mehr angegeben werden. Unsere openssl.config wurde entsprechend angepasst.
Beispiel: Erstellung eines CSR für den Dienst "www.rz.uni-wuerzburg.de" mit OpenSSL:
$ openssl req -config openssl.config -sha256 -newkey rsa:4096 -nodes -keyout www_rz.key -out www_rz.pem
Generating a 4096 bit RSA private key
..................+++
...................................+++
writing new private key to 'www_rz.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
Locality Name (eg, city) [Wuerzburg]:
State or Province Name (full name) [Bayern]:
Organization Name (eg, company) [Julius-Maximilians-Universitaet Wuerzburg]:
Common Name (eg, YOUR name) []:www.rz.uni-wuerzburg.de
Da Serverdienste i.d.R. ohne manuelles Eingreifen des Administrators automatisch starten sollen, wurde im Beispiel durch die Option -nodes verhindert, dass OpenSSL den privaten Schlüssel mit einem Passwort sichert. Die Datei www_rz.key muss daher sorgfältig vor unbefugtem Zugriff geschützt werden!
Die Datei www_rz.pem enthält den für den nächsten Schritt benötigten Zertifikatsantrag. Sie können die Werte des Antrags mit folgendem Kommando überprfen:
openssl req -noout -text -in www_rz.pem
2. Beantragen des Zertifikats bei der UNIWUE-CA
Seit dem 31.12.2022 stellt die DFN-PKI keine Serverzertifikate mehr aus. Neue bzw. zu verlängernde Zertifikate können ab dem 1.1.2023 nur über den neuen TSC (Trusted Certificate Service) Sectigo und einen geänderten Beantragungsweg bezogen werden.
Bis zum Start eines neuen Service-Portals bitten wir Sie, Ihren Zertifikatsantrag/CSR-Datei per Mail an ca@uni-wuerzburg.de zu schicken. Bitte geben Sie auch eine Funktionsmailadresse an, die fuer Mails zum beantragten Zertifikat genutzt werden kann. Sollten Sie weitere Hostnamen im Zertifikat benötigen, die noch nicht im CSR enthalten sind, teilen Sie uns diese bitte ebenfalls mit. Wir setzen uns danach mit Ihnen in Verbindung.
3. Einpflegen des Zertifikats in den Server
Sobald Sie den Link zum erstellten Zertifikat per Mail erhalten haben, können Sie dieses samt dem privaten Schlüssel und der Zertifizierungskette in die entsprechende Serveranwendung integrieren.
Beispiele für gebräuchliche Serverdienste werden im Laufe der Zeit hier aufgelistet werden.