Navigation und Service

Information Server-Zertifikate

Achtung:

Seit Anfang Februar 2017 werden Serverzertifikate der neuen Generation der DFN-PKI (Global-G2) ausgestellt.
Die auf dieser Seite gemachten Angaben zur Beantragung eines Serverzertifikats gelten unverändert weiter. Dennoch gibt es eine wichtige Änderung, die von Serveradministratoren beachtet werden muss:

Die Zertifizierungskette hat sich gegenüber der alten Hierarchie geändert, es werden sowohl ein neues Root-Zertifikat als auch neue Intermediate-CA-Zertifikate eingesetzt. All diese Zertifikate finden sich auf den Antragsseiten bei der DFN-PCA. Das Root-Zertifikat ist in den aktuellen Versionen der betroffenen Anwendungen bereits integriert.

Beim Austausch eines alten gegen ein neues Zertifikat muss unbedingt darauf geachtet werden, dass die Zertifizierungskette (chain file ) angepasst wird.

Beantragen von Server-Zertifikaten (Global)

Zur Beantragung eines Server-Zertifikates muss zunächst ein sog. Certificate Signing Request (CSR) erzeugt werden. Dieser wird anschließend mit Hilfe der Web-Schnittstelle in den Zertifikatantrag eingebunden.

Um den Request zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt openssl. Bei der Dokumentation findet sich eine openssl-Kurzreferenz. Die Mindestlänge von RSA-Schlüssel in der Global-Hierarchie beträgt 2048 Bytes.

In jedem Fall sind bei diesem Prozess Angaben zu machen, aus denen der eindeutige Name des Zertifikats-Subjects gebildet wird. In der Zertifizierungsrichtlinie der FZJ-CA ist festgelegt, dass sich das Subject aus folgenden - ggfs. [optionalen] - Attributen bildet:

  • C=DE
  • ST=Nordrhein-Westfalen
  • L=Juelich
  • O=Forschungszentrum Juelich GmbH
  • [OU=(Organisationseinheit)]
  • CN=(voll qualifizierter Name des Servers)
  • EMail=(Mail-Adresse des Administrators)

Bitte beachten Sie unbedingt die folgenden Hinweise:

Groß-/Kleinschreibung ist zu beachten
Der zu verwendende Zeichensatz findet sich im CPS (Abschnitt 3.1.4), insbesondere dürfen Umlaute und ß nicht verwendet werden

Erzeugen der Schlüssel und des Certificate Signing Requests (CSR) für Server mit openssl

Dick gedruckt sind in der folgenden ssl-Sequenz die Felder, für die Eingaben gemacht werden müssen. Um sicherzustellen, dass die anderen Felder leer bleiben, muss dort bei Benutzung von openssl ein Punkt eingegeben werden. Das eingegebene Passwort (PEM pass phrase) dient zum Schutz Ihrer Schlüssel und darf nicht verloren gehen.
Bei der Erzeugung eines Server-CSR muss beim common name der vollständige Rechnername eingetragen werden. Die folgende Mail-Adresse muss dann diejenige des Systemadministrators sein.

____________________________________________________________________

openssl req -newkey rsa:2048 -keyout key.pem -out servername_CSR.pem

Generating a 2048 bit RSA private key
..........................+++
...........................................+++
writing new private key to 'key.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) [ ]:Juelich
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Forschungszentrum Juelich GmbH
Organizational Unit Name (eg, section) [ ]:.
Common Name (eg, YOUR name) [ ]:rechner.name.kfa-juelich.de
Email Address [ ]:g.mustermann@fz-juelich.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password [ ]:.
An optional company name [ ]:.

____________________________________________________________________

 

Die Ausführung des openssl-Kommandos erzeugt zwei Dateien:

  • key.pem enthält den privaten Schlüssel, diese Datei ist durch das eingegebene Passwort geschützt und muss sorfältig aufbewahrt werden.
  • servername_CSR.pem: Diese Datei enthält den Certificate Signing Request, der von der Registrierungsstelle im ZAM nach Prüfung Ihrer Angaben und Ihres Ausweises an DFN-CERT Services übermittelt wird, wo dann das Zertifikat erzeugt wird. Der Inhalt des Requests kann zur Kontrolle mit dem Befehl
    openssl req -noout -text -in g.mustermann_CSR.pem
    gelistet werden.

Das fertiggestellte Zertifikat wird dem Administrator per Mail zugestellt.