Zertifikate der DFN-PKI und der GÉANT TCS und deren Einsatz im Forschungszentrum Jülich

Inhaltsverzeichnis

Beantragen eines Benutzerzertifikats (DFN-PKI Global)
Wie erreiche ich den Verzeichnisdienst der DFN-PKI?
Beantragen von Serverzertifikaten
Erstellen des Certificate Signing Requests (CSR)
Antragsprozess eines Serverzertifikates (GÉANT TCS)
Erzeugen einer PKCS#12-Datei aus dem privaten Schlüssel und dem zugehörigen Zertifikat (PEM-Format)
Teilnehmerservice
Gültigkeit von Zertifikaten
Weitere Informationen und Bedienungsanleitungen

Bitte beachten Sie:
Ab dem 23.12.2022 werden in der DFN-PKI Global (DFN-CA) keine Zertifikate für Datenverarbeitungssysteme (Serverzertifikate) mehr ausgestellt werden. Neue Serverzertifikate erhalten Sie in Zukunft über den Dienst GÉANT TCS. Bereits über die DFN-CA ausgestellte Serverzertifikate behalten ihre Gültigkeit. Bei Neubeantragung über die DFN-CA bis zum 22.12.2022 werden die Serverzertifikate noch für weitere 13 Monate gültig sein.

Benutzerzertifikate werden bis August 2023 weiterhin über die DFN-CA ausgestellt werden.

Das Forschungszentrum nutzt die DFN-Verein Global Issuing CA (DFN-CA) zur Verwaltung von Nutzerzertifikaten und die GÉANT TCS CA zur Verwaltung von Serverzertifikaten. Diese ermöglichen den Einsatz kryptographischer Verfahren zur Sicherung der Datenübertragung.

Das Office for User Services (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642, Email: user-services.jsc[at]fz-juelich.de, Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr) fungiert als Schnittstelle zur DFN-CA und zur GÉANT TCS CA (Teilnehmerservice).

Beantragen eines Benutzerzertifikats (DFN-PKI Global)

Benutzerzertifikate der DFN-PKI Global können beantragt werden für:

  • FZJ-Mitarbeitende mit gültiger Emailadresse v.name@fz-juelich.de
  • Funktionsgruppen mit gültiger Funktionsmailadresse. Der/die Antragstellende muss Inhaber:in der Funktionsmailadresse sein.
  • externe Zertifikatnehmer:innen, sofern sich aus einer Kooperation mit dem Forschungszentrum die Notwendigkeit ergibt. In diesem Fall muss dem Namen in den Zertifikatsdaten EXT: vorangestellt werden (EXT:Gabi Mustermann)
  • Code Signing. Der Zertifikatantrag sollte in diesem Fall als persönliches Zertifikat (am besten als Pseudonymzertifikat mit einem Namen der Form "PN: <Vorname Nachname> - CodeSigning") oder als Gruppenzertifikat ("<Gruppenname> - CodeSigning ") gestellt werden.

Die vom DFN-Verein zur Verfügung gestellten Antragsseiten für Nutzerzertifikate unterstützen die Benutzer:innen

  • beim Erzeugen eines Schlüsselpaares
  • bei der Fertigstellung eines Zertifikatantrags, der unterschrieben und zusammen mit einem amtlichen Lichtbildausweis (Personalausweis/Reisepass) persönlich dem Teilnehmerservice im JSC (Office for User Services) vorgelegt werden muss. Persönliche Identifizierungen können auch per Video-Ident durchgeführt werden.

    Sofern die persönliche Identifizierung nicht länger als 39 Monate zurückliegt, reicht es aus, den Antrag per Post oder signierter Email an das Office for User Services (user-services.jsc[at]fz-juelich.de) zu senden.

Die Mitarbeitenden der Außenstellen können die persönliche Identifizierung auch jeweils vor Ort durchführen. Die entsprechenden Kontaktadressen finden Sie unten.

Wenn alle Voraussetzungen erfüllt sind, wird der Teilnehmerservice die Erstellung des Zertifikates durch die CA initiieren. Über die Fertigstellung des Zertifikates werden die Antragstellenden per Email informiert. Mittels eines Links in dieser Email kann das Zertifikat in den Browser importiert werden, mit dem das Schlüsselpaar erzeugt wurde.

Bitte benutzen Sie für die Beantragung einen der folgenden Browser: Chrome, Firefox, Edge (auf Chromium Basis) oder Safari. Die Zertifikatbeantragung über den Internet Explorer ist nicht möglich.

Navigieren Sie zu den Antragsseiten für Nutzerzertifikate

  • Wählen Sie Ein neues Nutzerzertifikat beantragen aus
  • Tragen Sie auf der Antragsseite Ihren Namen, Ihre E-Mail-Adresse, (optional) das Kürzel Ihrer Organisationseinheit und die Sperr-PIN ein. Die persönliche Notiz dient lediglich zu Ihrer Information und kann weggelassen werden.
  • Nach Klicken von Weiter kann der Antrag nochmals kontrolliert und ggfs. noch geändert werden.
  • Mit Antragsdatei speichern wird der Antrag abgesendet und es wird eine lokale Sicherungsdatei erzeugt, die gespeichert werden muss.

    Achtung: Nach dem Hochladen der Antragsdatei fragt Firefox in einem Pop-Up-Fenster, wie mit der Antragsdatei verfahren werden soll. In diesem Dialog muss explizit "Datei Speichern" markiert werden, bevor OK gedrückt wird.

    Da diese Antragsdatei auch den privaten Schlüssel enthält, muss sie durch ein Passwort geschützt werden. Der Download-Ordner ist in den Browser-Einstellungen festgelegt.
  • Mit Zertifikatantragsformular (PDF) herunterladen erhält man das Antragsformular zum Drucken oder Speichern in Form einer PDF-Datei. Reichen Sie dieses Antragsformular unterschrieben persönlich, per Post, oder per signierter Email (user-services.jsc[at]fz-juelich.de) beim Teilnehmerservice im JSC-Office for User Services ein.
  • Warten Sie auf die Genehmigung durch den Teilnehmerservice und die Fertigstellung des Zertifikates durch die DFN-CA!
  • Die Fertigstellung eines Zertifikates wird von der DFN-CA durch eine signierte Email von dfnpki-mailsender-noreply@dfn-cert.de mitgeteilt. Diese Mail enthält Web-Links, checken Sie daher bitte ggfs. auch Ihren SPAM-Ordner.
  • Folgen Sie bitte dem Link zu Ihrem eigenen Zertifikat und wählen Sie die Antragsdatei aus, die Sie bei der Antragsstellung gespeichert haben. Nach Eingabe des Passworts drücken Sie Weiter.
  • Mit Zertifikatdatei speichern können Sie nun eine PKCS#12-Datei generieren. Diese Datei enthält neben dem Zertifikat auch den dazu gehörenden privaten Schlüssel des Inhabers. Sie muss daher mit einem starken Passwort geschützt werden. Die Datei kann nun in Anwendungen, z.B. in Thunderbird oder zur Nutzung mit Outlook in den Windows-Zertifikatsspeicher importiert werden

Wie erreiche ich den Verzeichnisdienst der DFN-PKI?

Der Verzeichnisdienst der DFN-PKI für Nutzerzertifikate im Sicherheitsniveau Global ist durch folgenden LDAP-Server realisiert:

  • Hostname: ldap.pca.dfn.de
  • Ports:
    • 636 mit TLS/SSL (zu bevorzugen)
    • 389 mit und ohne STARTTLS

Sie finden die vom Inhaber zur Veröffentlichung freigegebenen Nutzerzertifikate im Sicherheitsniveau Global unter:

  • Basis-DN: ou=DFN-PKI,o=DFN-Verein,c=de

Für Nutzerzertifikate im Sicherheitsniveau Grid benutzen Sie stattdessen:

  • Basis-DN: o=GridGermany,c=de

Beantragen von Serverzertifikaten

Serverzertifikate dienen der SSL-Verschlüsselung von Netzwerkdiensten wie https, ldaps, imaps, ...

Zum Generieren eines Server-Zertifikats sind folgende Schritte erforderlich:

  • Erzeugen eines Certificate Signing Requests (CSR). In einigen Fällen bieten die Anwendungen Tools zum Erzeugen dieser Datei, in anderen Fällen muss der Request mit Hilfe eines openssl-Befehls erzeugt werden.
  • Übermittlung des Certificate Signing Requests (CSR) an die CA mit Hilfe der Antragsseiten für Serverzertifikate.
  • Ein Link zum erzeugten Zertifikat wird dem Antragsteller von der CA per Mail mitgeteilt.
  • Der Common Name (CN) sowie alle beantragten Subject Alternative Names (SAN) müssen in der JuNet-Datenbank eingetragen sein. Antragsberechtigt sind die in der JuNet-Datenbank hinterlegten jeweiligen Administratoren der Server.

In der Zertifizierungsrichtlinie der DFN-CA ist festgelegt, dass sich das Subject aus folgenden Attributen bildet:

  • C=DE
  • ST=Nordrhein-Westfalen
  • L=Juelich
  • O=Forschungszentrum Juelich GmbH
  • CN=(voll qualifizierter Name des Servers)
  • EMail=(Mail-Adresse des Administrators)

Bitte beachten Sie unbedingt die folgenden Hinweise:

  • Bitte beachten Sie Groß- und Kleinschreibung.
  • Bitte keine Umlaute und ß verwenden!

Erstellen des Certificate Signing Requests (CSR)

Um den CSR zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt den entsprechenden OpenSSL-Befehl:

openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Juelich/O=Forschungszentrum Juelich GmbH/CN=www.example.org"

Falls der CSR zusätzlich Subject Alternative Names (SANs) enthalten soll, lautet der entsprechende OpenSSL-Befehl

openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Juelich/O=Forschungszentrum Juelich GmbH/CN=www.example.org" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName= DNS:www.example.org,DNS:example.org,DNS:www.example.net,DNS:example.net"))

Nach der Erzeugung des RSA private key werden Sie zur Eingabe eines Passwortes aufgefordert. Diese s.g. "PEM pass phrase" schützt den generierten RSA private key vor unberechtigtem Zugriff.

Die OpenSSL-Kurzreferenz des DFN-Vereins gibt weitere Hilfestellung.

Antragsprozess eines Serverzertifikates (GÉANT TCS)

  • Erstellen Sie einen Certificate Signing Request (siehe vorherige FAQ)
  • Navigieren Sie zu den Antragsseiten für Serverzertifikate
  • Die Authentifizierung erfolgt über den zentralen Identity Provider des Forschungszentrums Jülich
  • Wählen Sie bei Your Institution Forschungszentrum Jülich GmbH (FZJ) aus und geben anschließend Ihre Benutzerdaten ein
  • Sie werden zur Seite des SECTIGO Certificate Managers weitergeleitet. Bitte warten Sie, bis die Seite vollständig geladen worden ist. Falls Sie bereits GÉANT TCS Serverzertifikate beantragt haben, finden Sie diese dort.
  • Wählen Sie bitte Enroll Certificate an
  • Es öffnet sich die Seite SSL Certificate Enrollment. Dort bitte den Abschnitt Enroll with Access Code ignorieren
  • Bitte gehen Sie direkt zum Abschnitt Select Enrollment Account und wählen unter Account Forschungszentrum Jülich GmbH aus
  • Das Zertifikatsprofil OV Multi-Domain beinhaltet bereits alle gängigen Profile für Serverzertifikate, wie beispielsweise LDAP-Server, Radius, Server, Shibboleth IdP SP, Mail Server, Radius Server, VPN Server, ...
  • Laden Sie unter Upload CSR den CSR als PKCS#10-Zertifikatantrag (PEM-formatierte Datei) hoch. Sie können anschließend bei Bedarf weitere Subject Alternative Names angeben
  • Im Feld External Requesters können Sie weitere E-Mail Adressen, auch Funktionsmailadressen, eintragen. Sämtliche Zertifikatsbenachrichtigungen werden dann zusätzlich an die eingetragenen E-Mail Adressen verschickt
  • Wählen Sie Auto Renew, wenn der CSR vor Ablauf des Zertifikats automatisch wieder in den GÉANT TCS eingestellt werden soll
  • Nach Bestätigung mit Submit wird Ihr CSR in den GÉANT TCS hochgeladen. Sie werden wieder auf die Seite SECTIGO Certificate Manager weitergeleitet. Dort erscheint nach einigen Sekunden Ihr hochgeladener Zertifikatsantrag. Sobald das Zertifikat vom JSC Teilnehmerservice genehmigt worden ist, können Sie dort das signierte Zertifikat herunterladen. Sie werden zusätzlich aber auch eine E-Mail von support@cert-manager.com mit allen erforderlichen Links zum Download erhalten.
  • In den meisten Fällen empfiehlt sich der Download as Certificate only, PEM encoded. Damit wird das einzelne Zertifikat in einer Datei heruntergeladen oder der Download als as Certificate (w/ issuer after), PEM encoded. Diese Datei enthält zusätzlich zu dem Zertifikat auch noch die Zertifikatskette.
  • Zertifikatskette zum Download (siehe auch die Seiten des DFNs)
  • Erzeugen Sie mit der im CSR erzeugten Schlüsseldatei und dem von der CA zugesandten Zertifikat eine PKCS#12-Datei (siehe nächste FAQ).

Erzeugen einer PKCS#12-Datei aus dem privaten Schlüssel und dem zugehörigen Zertifikat (PEM-Format)

Mit dem u.a. OpenSSL-Befehl erzeugen Sie aus dem privaten Schlüssel (www.example.org-key.pem), dem von der DFN-CA ausgestellten Serverzertifikat (signed-certificate.pem) und (optional) der Keychain (certificate-chain.pem) eine PKCS#12-Datei (www.example.org.p12).

openssl pkcs12 -export -inkey www.example.org-key.pem -certfile certificate-chain.pem -out www.example.org.p12 -in signed-certificate.pem

Teilnehmerservice

Der zur DFN-PKI gehörende Teilnehmerservice des Forschungszentrums befindet sich beim

Office for User Services (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642, user-services.jsc@fz-juelich.de)

Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr)

Mitarbeitende in den PTJ-Außenstellen können die für eine Registrierung erforderliche Teilnehmererklärung auch vor Ort abgeben:

  • Kontakt in Bonn: +49 228 60884-254 und +49 228 60884-201
  • Kontakt in Berlin: +49 2461 61-3939, +49 2461 61-3856 und +49 2461 61-3855
  • Kontakt in Rostock: +49 381 20356-299

Dasselbe gilt für Mitarbeitende in den JCNS -Außenstellen

  • Kontakt in Jülich: +49 2461 61 2498

Mitarbeitende des Helmholtz-Instituts Erlangen-Nürnberg (IEK-11) wenden sich bitte an folgende Telefonnummer:

  • Kontakt in Erlangen: +49 9131 85-20843

Mitarbeitende des Helmholtz-Instituts Münster (IEK-12) können sich an folgende Telefonnummer wenden:

  • Kontakt in Münster: +49 251 83-30008

Mitarbeitende der INM-Außenstelle in Düsseldorf wenden sich bitte an

  • Kontakt in Düsseldorf: +49 2461 61 9167

Gültigkeit von Zertifikaten

Zertifikatsklasse

Benutzerzertifikat

Serverzertifikat

GÉANT TCS

-

1 Jahr

Global

3 Jahre

-

Grid

1 Jahr

1 Jahr

Weitere Informationen und Bedienungsanleitungen

Letzte Änderung: 31.05.2023