Zertifikate des GÉANT TCS und deren Einsatz im Forschungszentrum Jülich
Inhaltsverzeichnis
Eine ausführliche Dokumentation zum Thema Zertifikate finden Sie im Intranet unter https://intranet.fz-juelich.de/de/organisation/it-portal/software_services/infrastruktur/zertifikate
Beantragen eines Benutzerzertifikats
S/MIME Benutzerzertifikate werden im FZJ seit dem 19.09.2023 über den Dienst GÉANT TCS mit dem Dienstleister Sectigo ausgestellt. Die bis zum 29.08.2023 ausgestellten Zertifikate der DFN-PKI bleiben weiterhin gültig.
Das Office for User Services (Geb 16.4, Raum 201, Tel: +49 2461 61 5642, Email: user-services.jsc[at]fz-juelich.de, Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr) fungiert als Teilnehmerservice und Schnittstelle zur GÉANT TCS CA. Die JSC Kolleginnen und Kollegen sind u.a. zuständig für eine persönliche Legitimierung und Ausweiskontrolle.
GÉANT TCS Benutzerzertifikate werden für folgende Personen und Gruppen ausgestellt:
- Mitarbeitende des Forschungszentrums Jülich
- Gruppen mit einer gültigen Funktionsmailadresse. Der Antragstellende muss der Inhaber der Funktionsmailadresse sein
Antragsprozess
- Bitte schicken Sie eine formlose E-Mail an das JSC Office for User Services (user-services.jsc[at]fz-juelich.de), mit der Bitte um Ausstellung eines Nutzer- bzw. Gruppenzertifikats. Die Zusendung eines unterschriebenen Antrags entfällt
- Zum Erhalt des Zertifikats ist eine einmalige persönliche Legitimierung mit einem gültigen Ausweisdokument notwendig. Das JSC Office for User Services wird sich per E-Mail an Sie wenden, falls diese Legitimierung noch aussteht. Eine Legitimierung per Video Ident Verfahren ist möglich
- Nach erfolgreicher Legitimierung erhalten Sie eine unsignierte E-Mail vom Sectigo Certificate Manager (support@cert-manager.com) mit dem Betreff "Your Email Invitation Request"
- In dieser E-Mail bitte auf "Verify Email Address" klicken
- Anschließend werden Sie zum „Client Certificate Enrollment“ Formular weitergeleitet
- In diesem Formular bitte die voreingestellten Werte nicht ändern
- Ein akademischer Grad kann nicht in das Zertifikat aufgenommen werden
- Bitte die Zertifikatsrichtlinien im unteren Teil des Formulars bestätigen ("I have read and agree to the terms of the Sectigo Client Certificate EULA" -> ACCEPT)
- Mit einem Klick auf "Submit" wird das Zertifikat erzeugt. Dieser Vorgang kann einige Minuten dauern. Bitte während dieser Zeit nicht das Browserfenster schließen.
- Nach Erzeugung des Zertifikats muss in „Choose key protection algorithm“ der voreingestellte Algorithmus „Secure AES256-SHA256“ durch „Compatible TripleDES-SHA1" ersetzt werden
- Bei Verwendung von AES256-SHA256 kommt es zu Kompatibilitätsproblemen beispielsweise auf Windows- und MacOS-Systemen
- Bitte ignorieren Sie die Meldung „This algorithm is older, slower and vulnerable to bruteforce”
- Anschließend das "PKCS#12 Password" zur Verwaltung des Zertifikats setzen und unter "Confirm PKCS#12 Password" bestätigen
- Mit Bestätigung durch "Download" wird Ihr fertiges Zertifikat als .p12-Datei in Ihren Standarddownloadordner des Betriebssystems heruntergeladen. Auch dieser Vorgang kann einige Minuten dauern.
- Sobald Ihr Zertifikat heruntergeladen ist, wird dieses auch im Sectigo Certificate Manger angezeigt
- Gehen Sie zu dem Standarddownloadordner Ihres Betriebssystems und fügen Sie Ihr Zertifikat mit einem Doppelklick auf die gerade erzeugte .p12-Datei zur Schlüsselbundverwaltung Ihres Betriebssystems hinzu. Sie werden von Ihrem Betriebssystem durch die weiteren Schritte geleitet
- Anschließend importieren Sie Ihr Zertifikat bitte in Ihre E-Mail Anwendung (Dokumentation im Intranet verfügbar)
Bei Fragen stehen Ihnen die Kolleginnen und Kollegen des JSC Office for User Services (Tel.: 5642, E-Mail: user-services.jsc[at]fz-juelich.de) gerne zur Verfügung
Beantragen von Serverzertifikaten
SSL Serverzertifikate dienen der SSL-Verschlüsselung von Netzwerkdiensten wie beispielsweise https, ldaps, imaps. Seit 23.12.2023 werden diese für das Forschungszentrum über den Dienst GÉANT TCS bezogen.
Zum Generieren eines Serverzertifikats sind folgende Schritte erforderlich:
- Erzeugen eines Certificate Signing Requests (CSR). In einigen Fällen bieten die Anwendungen Tools zum Erzeugen dieser Datei, in anderen Fällen muss der Request mit Hilfe eines openssl-Befehls erzeugt werden.
- Übermittlung des Certificate Signing Requests (CSR) an die CA mit Hilfe der Antragsseiten für Serverzertifikate.
- Ein Link zum erzeugten Zertifikat wird dem Antragsteller von der CA per Mail mitgeteilt.
- Der Common Name (CN) sowie alle beantragten Subject Alternative Names (SAN) müssen in der JuNet-Datenbank eingetragen sein. Antragsberechtigt sind die in der JuNet-Datenbank hinterlegten jeweiligen Administratoren der Server.
Erstellen des Certificate Signing Requests (CSR)
Der Certificate Signing Request muss folgende Attribute enthalten:
- C=DE
- ST=Nordrhein-Westfalen
- O=Forschungszentrum Juelich GmbH
- CN=(voll qualifizierter Name des Servers)
- EMail=(Mail-Adresse des Administrators)
Bitte beachten Sie unbedingt die folgenden Hinweise:
- Beachten Sie Groß- und Kleinschreibung
- Verwenden Sie keine Umlaute oder ß
Um den CSR zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt den entsprechenden OpenSSL-Befehl:
openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/O=Forschungszentrum Juelich GmbH/CN=www.example.org"
Falls der CSR zusätzlich Subject Alternative Names (SANs) enthalten soll, lautet der entsprechende OpenSSL-Befehl
openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/O=Forschungszentrum Juelich GmbH/CN=www.example.org" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName= DNS:www.example.org,DNS:example.org,DNS:www.example.net,DNS:example.net"))
Nach der Erzeugung des RSA private key werden Sie zur Eingabe eines Passwortes aufgefordert. Diese s.g. "PEM pass phrase" schützt den generierten RSA private key vor unberechtigtem Zugriff.
Die OpenSSL-Kurzreferenz des DFN-Vereins gibt weitere Hilfestellung.
Antragsprozess
- Erstellen Sie einen Certificate Signing Request (siehe vorherige FAQ)
- Navigieren Sie zu den Antragsseiten für Serverzertifikate
- Die Authentifizierung erfolgt über den zentralen Identity Provider des Forschungszentrums Jülich
- Wählen Sie bei Your Institution Forschungszentrum Jülich GmbH (FZJ) aus und geben anschließend Ihre Benutzerdaten ein
- Sie werden zur Seite des SECTIGO Certificate Managers weitergeleitet. Bitte warten Sie, bis die Seite vollständig geladen worden ist. Falls Sie bereits GÉANT TCS Serverzertifikate beantragt haben, finden Sie diese dort.
- Wählen Sie bitte Enroll Certificate an
- Es öffnet sich die Seite SSL Certificate Enrollment. Dort bitte den Abschnitt Enroll with Access Code ignorieren
- Bitte gehen Sie direkt zum Abschnitt Select Enrollment Account und wählen unter Account Forschungszentrum Jülich GmbH aus
- Das Zertifikatsprofil OV Multi-Domain beinhaltet bereits alle gängigen Profile für Serverzertifikate, wie beispielsweise LDAP-Server, Radius, Server, Shibboleth IdP SP, Mail Server, Radius Server, VPN Server, ...
- Laden Sie unter Upload CSR den CSR als PKCS#10-Zertifikatantrag (PEM-formatierte Datei) hoch. Sie können anschließend bei Bedarf weitere Subject Alternative Names angeben
- Im Feld External Requesters können Sie weitere E-Mail Adressen, auch Funktionsmailadressen, eintragen. Sämtliche Zertifikatsbenachrichtigungen werden dann zusätzlich an die eingetragenen E-Mail Adressen verschickt
- Wählen Sie Auto Renew, wenn der CSR vor Ablauf des Zertifikats automatisch wieder in den GÉANT TCS eingestellt werden soll
- Nach Bestätigung mit Submit wird Ihr CSR in den GÉANT TCS hochgeladen. Sie werden wieder auf die Seite SECTIGO Certificate Manager weitergeleitet. Dort erscheint nach einigen Sekunden Ihr hochgeladener Zertifikatsantrag. Sobald das Zertifikat vom JSC Teilnehmerservice genehmigt worden ist, können Sie dort das signierte Zertifikat herunterladen. Sie werden zusätzlich aber auch eine E-Mail von support@cert-manager.com mit allen erforderlichen Links zum Download erhalten.
- In den meisten Fällen empfiehlt sich der Download as Certificate only, PEM encoded. Damit wird das einzelne Zertifikat in einer Datei heruntergeladen oder der Download als as Certificate (w/ issuer after), PEM encoded. Diese Datei enthält zusätzlich zu dem Zertifikat auch noch die Zertifikatskette.
- Zertifikatskette zum Download (siehe auch die Seiten des DFNs)
- Erzeugen Sie mit der im CSR erzeugten Schlüsseldatei und dem von der CA zugesandten Zertifikat eine PKCS#12-Datei (siehe nächste FAQ).
Erzeugen einer PKCS#12-Datei aus dem privaten Schlüssel und dem zugehörigen Zertifikat (PEM-Format)
Mit dem u.a. OpenSSL-Befehl erzeugen Sie aus dem privaten Schlüssel (www.example.org-key.pem), dem von der DFN-CA ausgestellten Serverzertifikat (signed-certificate.pem) und (optional) der Keychain (certificate-chain.pem) eine PKCS#12-Datei (www.example.org.p12).
openssl pkcs12 -export -inkey www.example.org-key.pem -certfile certificate-chain.pem -out www.example.org.p12 -in signed-certificate.pem
Teilnehmerservice
Der zum GÉANT TCS gehörende Teilnehmerservice des Forschungszentrums befindet sich beim
Office for User Services (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642, user-services.jsc@fz-juelich.de)
Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr)
Mitarbeitende in den PTJ-Außenstellen können die für eine Registrierung erforderliche Teilnehmererklärung auch vor Ort abgeben:
- Kontakt in Bonn: +49 228 60884-254 und +49 228 60884-201
- Kontakt in Berlin: +49 2461 61-3939, +49 2461 61-3856 und +49 2461 61-3855
- Kontakt in Rostock: +49 381 20356-299
Dasselbe gilt für Mitarbeitende in den JCNS -Außenstellen
- Kontakt in Jülich: +49 2461 61 2498
Mitarbeitende des Helmholtz-Instituts Erlangen-Nürnberg (IEK-11) wenden sich bitte an folgende Telefonnummer:
- Kontakt in Erlangen: +49 9131-12538205
Mitarbeitende des Helmholtz-Instituts Münster (IEK-12) können sich an folgende Telefonnummer wenden:
- Kontakt in Münster: +49 251 83-30008
Mitarbeitende der INM-Außenstelle in Düsseldorf wenden sich bitte an
- Kontakt in Düsseldorf: +49 2461 61 9167
Gültigkeit von Zertifikaten
Zertifikatsklasse | Benutzerzertifikat | Serverzertifikat |
---|---|---|
GÉANT TCS | 2 Jahre | 1 Jahr |
Grid | 1 Jahr | 1 Jahr |