Zertifikate des GÉANT TCS und deren Einsatz im Forschungszentrum Jülich
Inhaltsverzeichnis
Eine ausführliche Dokumentation zum Thema Zertifikate finden Sie im Intranet unter https://intranet.fz-juelich.de/de/organisation/it-portal/software_services/infrastruktur/zertifikate
Beantragen eines Benutzerzertifikats
S/MIME Benutzerzertifikate werden im FZJ seit dem 19.09.2023 über den Dienst GÉANT TCS ausgestellt. Die bis zum 29.08.2023 ausgestellten Zertifikate der DFN-PKI bleiben weiterhin gültig.
Das Office for User Services (Geb 16.4, Raum 201, Tel: +49 2461 61 5642, Email: user-services.jsc[at]fz-juelich.de, Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr) fungiert als Teilnehmerservice und Schnittstelle zur GÉANT TCS CA. Die JSC Kolleginnen und Kollegen sind u.a. zuständig für eine persönliche Legitimierung und Ausweiskontrolle.
GÉANT TCS Benutzerzertifikate werden für folgende Personen und Gruppen ausgestellt:
- Mitarbeitende des Forschungszentrums Jülich
- Gruppen mit einer gültigen Funktionsmailadresse. Der Antragstellende muss der Inhaber der Funktionsmailadresse sein
Antragsprozess
- Bitte schicken Sie eine formlose E-Mail an das JSC Office for User Services (user-services.jsc[at]fz-juelich.de), mit der Bitte um Ausstellung eines Nutzer- bzw. Gruppenzertifikats. Die Zusendung eines unterschriebenen Antrags entfällt
- Zum Erhalt des Zertifikats ist eine einmalige persönliche Legitimierung mit einem gültigen Ausweisdokument notwendig. Das JSC Office for User Services wird sich per E-Mail an Sie wenden, falls diese Legitimierung noch aussteht. Eine Legitimierung per Video Ident Verfahren ist möglich
Beantragen von Serverzertifikaten
SSL Serverzertifikate dienen der SSL-Verschlüsselung von Netzwerkdiensten wie beispielsweise https, ldaps, imaps. Diese werden für das Forschungszentrum über den Dienst GÉANT TCS bezogen.
Antragsprozess
- Bitte schicken Sie eine formlose E-Mail an das JSC Office for User Services (user-services.jsc[at]fz-juelich.de), mit der Bitte um Zusendung des Links zum Beantragen von Serverzertifikaten
Erstellen des Certificate Signing Requests (CSR)
Der Certificate Signing Request muss folgende Attribute enthalten:
- C=DE
- ST=Nordrhein-Westfalen
- O=Forschungszentrum Juelich GmbH
- CN=(voll qualifizierter Name des Servers)
- EMail=(Mail-Adresse des Administrators)
Bitte beachten Sie unbedingt die folgenden Hinweise:
- Beachten Sie Groß- und Kleinschreibung
- Verwenden Sie keine Umlaute oder ß
Um den CSR zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt den entsprechenden OpenSSL-Befehl:
openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/O=Forschungszentrum Juelich GmbH/CN=www.example.org"
Falls der CSR zusätzlich Subject Alternative Names (SANs) enthalten soll, lautet der entsprechende OpenSSL-Befehl
openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/O=Forschungszentrum Juelich GmbH/CN=www.example.org" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName= DNS:www.example.org,DNS:example.org,DNS:www.example.net,DNS:example.net"))
Nach der Erzeugung des RSA private key werden Sie zur Eingabe eines Passwortes aufgefordert. Diese s.g. "PEM pass phrase" schützt den generierten RSA private key vor unberechtigtem Zugriff.
Die OpenSSL-Kurzreferenz des DFN-Vereins gibt weitere Hilfestellung.
Erzeugen einer PKCS#12-Datei aus dem privaten Schlüssel und dem zugehörigen Zertifikat (PEM-Format)
Mit dem u.a. OpenSSL-Befehl erzeugen Sie aus dem privaten Schlüssel (www.example.org-key.pem), dem von der DFN-CA ausgestellten Serverzertifikat (signed-certificate.pem) und (optional) der Keychain (certificate-chain.pem) eine PKCS#12-Datei (www.example.org.p12).
openssl pkcs12 -export -inkey www.example.org-key.pem -certfile certificate-chain.pem -out www.example.org.p12 -in signed-certificate.pem
Teilnehmerservice
Der zum GÉANT TCS gehörende Teilnehmerservice des Forschungszentrums befindet sich beim
Office for User Services (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642, user-services.jsc@fz-juelich.de)
Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr)
Mitarbeitende in den PTJ-Außenstellen können die für eine Registrierung erforderliche Teilnehmererklärung auch vor Ort abgeben:
- Kontakt in Bonn: +49 228 60884-254 und +49 228 60884-201
- Kontakt in Berlin: +49 2461 61-3939, +49 2461 61-3856 und +49 2461 61-3855
- Kontakt in Rostock: +49 381 20356-299
Dasselbe gilt für Mitarbeitende in den JCNS -Außenstellen
- Kontakt in Jülich: +49 2461 61 2498
Mitarbeitende des Helmholtz-Instituts Erlangen-Nürnberg (IEK-11) wenden sich bitte an folgende Telefonnummer:
- Kontakt in Erlangen: +49 9131-12538205
Mitarbeitende des Helmholtz-Instituts Münster (IEK-12) können sich an folgende Telefonnummer wenden:
- Kontakt in Münster: +49 251 83-30008
Mitarbeitende der INM-Außenstelle in Düsseldorf wenden sich bitte an
- Kontakt in Düsseldorf: +49 2461 61 9167
Gültigkeit von Zertifikaten
Zertifikatsklasse | Benutzerzertifikat | Serverzertifikat |
|---|---|---|
GÉANT TCS | 2 Jahre | 1 Jahr |
Grid | 1 Jahr | 1 Jahr |