Uni-Logo
Artikelaktionen

Zertifikate

Die Uni-FR CA ist eine Zertifizierungsstelle der Universität Freiburg, die im Auftrag des DFN-Vereins (Deutsches Forschungsnetz) betrieben wird.

Zertifikate

Die Zertifikate werden von der übergeordneten Zertifizierungsstelle der DFN-PKI (DFN-PCA) ausgestellt Das Format der Zertifikate folgt der ITU-Empfehlung X.509.

PGP-Zertifikate werden vom Rechenzentrum nicht ausgestellt.

Siehe auch    >> Zertifizierungsstelle

 

Die Struktur der Zertifizierungshierarchie

Sicherheitsniveau GLOBAL

  1. Wurzelzertifizierungsstelle Deutsche Telekom Root CA 2: Das Wurzelzertifikat dieser Instanz beglaubigt das CA-Zertifikat der DFN-PKI im Sicherheitsniveau Global G01. Dieses Wurzelzertifikat ist in Windows Betriebssystemen (und damit in allen Microsoft-Anwendungen) vorinstalliert (lesen Sie dazu die Anmerkung zu Vista in der DFN-PKI-FAQ). Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie ist für Mozilla Firefox ab der Version 3.0.12 und für Mozilla Thunderbird ab der Version 2.0.0.23 erfolgt. Siehe dazu eine Status-Seite zur Integration der Zertifikate der DFN-PKI Global in Anwendungen und Betriebssysteme.
  2. Zertifizierungsstelle der DFN-PKI (angesiedelt beim DFN-Verein):Das Zertifikat dieser Zwischeninstanz wird beglaubigt vom Wurzelzertifikat der Deutschen Telekom und beglaubigt seinerseits alle davon abgeleiteten Zertifikate, u.a. das Zertifikat der Uni-FR CA.
  3. Zertifizierungsstelle der Universität Freiburg Uni-FR CA (angesiedelt beim DFN-Verein): Das Zertifikat dieser Einrichtung wird vom DFN-Zertifikat beglaubigt und beglaubigt seinerseits alle davon abgeleiteten persönlichen oder Server-Zertifikate.
  4. Registrierungsstelle (RA) der Uni-FR CA (angesiedelt beim Rechenzentrum der Universität Freiburg): Diese Einrichtung identifiziert die AntragstellerInnen und genehmigt die beantragten Zertifikate.

Der Betrieb der Uni-FR CA ist in folgenden Dokumenten geregelt:

 

Das Wurzelzertifikat und die Zertifikate der DFN-CA und der Uni-FR CA

Um die Vorteile der Zertifizierung von Webseiten oder E-Mails durch die Uni-FR CA nutzen zu können (und bevor Sie ein eigenes Zertifikat beantragen), muss zumindest das Wurzelzertifikat im Betriebssystem bzw. dem Zertifikatsspeicher der nicht zum Betriebssystem gehörenden Web-Anwendung installiert sein.

Das Zertifikat der Wurzelzertifizierungsstelle Deutsche Telekom Root CA ist im Microsoft Internet Explorer und in Windows Betriebssystemen vorinstalliert. Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie wurde weiter oben bereits kommentiert.

Sie finden diese Zertifikate unter dem nachfolgenden Link:

https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=0

Üblicherweise verwenden Sie das (binäre) DER-Format, um das Zertifikat in einen Webbrowser zu importieren.

Durch den Vergleich der Fingerprints kann man sich beim Import mit eigenen Augen davon überzeugen, ob man ein unverfälschtes Zertifikat vom Server erhalten hat.

Jeder Web-Browser verfügt über seinen eigenen Zertifikatsspeicher. Das bedeutet also z. B., dass ein Zertifikat, das in Mozilla Suite importiert wurde, nicht im MS Internet Explorer zur Verfügung steht. Ebenso ist ein in Mozilla Firefox importiertes Zertifikat in anderen Anwendungen nicht verfügbar, selbst Mozilla Thunderbird kennt es nicht. Eine Sonderstellung nimmt der Internet Explorer insofern ein, als ein dort importiertes Zertifikat allen Microsoft Anwendungen (z.B. Outlook, Outlook Express) zur Verfügung steht.

In der Anleitung  Import der Zertifikatskette zeigen wir Ihnen, wie Sie grundsätzlich Zertifikate importieren, mit denen sich Zertifizierungsstellen ausweisen.

 

!!!!!  Wichtiger Hinweis zu (ehemals) GRiD-Zertifiakten  !!!!!

Die Zertifizierungsstelle der Universität Freiburg Uni-FR CA bearbeitet keine GRiD-Zertifikate. GRiD-Anträge sind mit der Änderung des Zugangs zu den GRiD-Diensten obsolet geworden. Dieser erfolgt jetzt über bwIDM. Weitere Informationen dazu unter: 

https://www.bwidm.de/

https://www.bwhpc-c5.uni-freiburg.de/news/2013/erster-freiburger-newsletter-2013-12#freiburg_bwgrid_bwidm_ready

Seinen Uni-Account kann man für den GRiD-Dienst unter dem folgenden Link sehr bequem freischalten lassen und man braucht kein Zertifikat mehr.

https://www.bw.grid.uni-freiburg.de/zugang-zum-bwgrid/freischaltung-uni-account

 

Tipp: Falls Sie Ihre Mails mit einem persönlichen Zertifikat unterschreiben oder einen Service über das Internet anbieten, der sich den Benutzern gegenüber mit einem Server-Zertifikat ausweist, ist es nützlich und ratsam, die Kommunikationspartner auf das Wurzelzertifikat hinzuweisen. Das kann bei Mails im Signaturtext zusammen mit Name und Adresse geschehen, in einem Hinweistext auf der Frontseite des Web-Auftrittes oder in der Dokumentation. Verwenden Sie die obige DFN-Webadresse für den Bezug der Zertifikate.

Sie können aber auch einfach einen Verweis auf diese Seite anbringen, damit sich die Kommunikationspartner auch über die Hintergründe Ihrer Sicherheitseinstellungen informieren können. 

 

Der Weg zum eigenen Zertifikat

Der Antrag

Bevor Sie ein Zertifikat beantragen, sollten Sie die obigen Richtlinien und Erklärungen zum Zertifizierungsbetrieb durchlesen. Dort werden die Regeln festgelegt, nach denen die einzelnen Zertifizierungsinstanzen arbeiten. Neben den Richtlinien (CP, CPS) der DFN-PCA, kommen auch die lokalen Besonderheiten der Uni-FR CA und ihrer RA zur Geltung.

Eine knappe Zusammenfassung der Aufgaben eines Zertifikatnehmers finden Sie in dem DFN-Artikel "Informationen für Zertifikatinhaber".

Das weitere Vorgehen hängt davon ab, ob Sie ein

  1. persönliches X.509-Zertifikat
    • zum Unterschreiben und/oder verschlüsseln von Mails nach dem S/MIME-Verfahren bzw.
    • zur Authentisierung der VPN-Verbindung im Rahmen des MOPO-Projektes der Informatik

oder ein

  1. X.509 Serverzertifikat benötigen.

Es liegen gesonderte Beschreibungen vor für das

sowie das

In beiden Fällen wird die Antragstellung in einfacher Weise über die folgende Web-Adresse der Uni-FR CA bei der DFN-PCA durchgeführt:

  1. Für GRID Nutzer- und Server-Zertifikate Link zu GRiD-Zertifikaten obsolet, siehe Hinweis weiter oben!

Im Falle eines Serverzertifikates kommt hinzu, dass Sie das Schlüsselpaar und den dazugehörenden Certificate Signing Request (CSR) selbst erzeugen müssen, üblicherweise mit den Mitteln, die der Server bietet (z.B. OpenSSL). Während der Antragstellung wird der CSR dann an die Uni-FR CA übertragen.

Die Schlüssellänge beträgt grundsätzlich 2048 bit.

Verwenden Sie bitte auf der Eingabemaske keine nationalen Sonderzeichen. Ersetzen Sie nach folgenden Regeln:

  • erlaubte Zeichen: a-z A-Z 0-9 ' ( ) + , - . / : = ? Leerzeichen
  • deutsche Sonderzeichen ersetzen Sie durch die deutsche Umschreibung (ä → ae, Ä → Ae, ß → ss usw.)
  • andere Sonderzeichen ersetzen Sie durch den betreffenden Buchstaben ohne Akzent

Die Antragstellung endet mit dem Ausdruck eines Formulares, das Sie bitte komplett ausgefüllt und unterschrieben zur RA mitbringen. Wir bitten dringend um eine Terminabsprache mit der RA per E-Mail oder Telefon (Sprechzeiten beachten!).

Achtung:

Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig aus der Datenbank entfernt. Sperranträge sind hiervon nicht betroffen.

 

Die persönliche Identifizierung

In der RA weisen Sie sich anhand eines gültigen Personalausweises oder Reisepasses gegenüber der Kontaktperson aus. Bitte beachten Sie die Regeln der Zertifizierungsrichtlinien, die in Auszügen in der Anleitung zum Erstellen eines Benutzer-Zertifikates dokumentiert sind!

Falls Sie ein Server-Zertifikat beantragen, bringen Sie bitte ein Bestätigungsschreiben Ihres Institutes mit, aus dem hervor geht, dass Sie Administrator des betreffenden Servers sind.

Ihr Antrag wird dann umgehend genehmigt, sofern kein Hinderungsgrund vorliegt. Die Uni-FR CA sendet Ihnen das Zertifikat in der Regel dann innerhalb weniger Minuten per E-Mail zu.

 

Die Verlängerung der Zertifikate

Wie weiter oben schon erwähnt gelten

  • die persönlichen Zertifikate 3 Jahre ab Genehmigung
  • die Serverzertifikate 5 Jahre ab Genehmigung

Als Zertifikatnehmer/in erhalten sie von der DFN-PKI 30 und 15 Tage vor Ablauf des Zertifikats eine E-Mail, in denen Sie gewarnt werden, dass das Zertifikat abläuft. In der Mail ist eine Beschreibung enthalten, was zu tun ist.

Kurz zusammengefasst läuft die Verlängerung folgendermaßen ab:

Methode 1 (mit Unterschrift, für beide Zertifikatstypen anwendbar):

  1. Sie stellen auf den Webseiten der Uni-FR CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages.
  2. Das Antragsformular drucken Sie aus wie beim vorigen mal, tragen die fehlenden Angaben von Hand ein und unterschreiben.
  3. Sie senden das unterschriebene Antragsformular per Hauspost an die RA oder legen es persönlich nach Absprache vor. Wenn Sie Serverzertifikate erneuern wollen, legen Sie bitte auch eine Bescheinigung der beschäftigenden Einrichtung vor, dass Sie berechtigt sind, die betreffenden Server zu verwalten. Beim Postversand vergleicht die RA die Unterschrift mit der des alten Antrages und stellt fest, ob der/die Antragsteller/in noch berechtigt ist, ein Zertifikat zu erhalten.
  4. Bei positivem Ergebnis genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt.
  5. Bei negativem Ergebnis nimmt die RA mit dem/der Antragsteller/in Kontakt auf.

Methode 2 (mit Zertifikat, nur für Benutzer-Zertifikate):

  1. Sie stellen auf den Webseiten der Uni-FR CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages.
  2. Sie senden eine Mail an die RA mit der Bitte um Verlängerung und unterzeichnen diese Mail mit dem Zertifikat, dessen Verlängerung Sie beantragt haben. Ihr Zertifikat sollte zu diesem Zeitpunkt natürlich noch gültig sein.
  3. Bei positivem Ergebnis der Zertifikatsprüfung genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt.
  4. Bei negativem Ergebnis der Zertifikatsprüfung nimmt die RA mit dem/der Antragsteller/in Kontakt auf.

Das eigtl. naheliegende Konzept, zu einem existierenden Schlüssel einfach ein neues Zertifikat herzustellen, stößt spätestens bei Microsoft-Anwendungen auf Hindernisse, da Sie dort nicht so ohne weiteres ein neues Zertifikat zu einem alten Schlüssel importiert bekommen. Daher unsere Empfehlung, einfach ein neues Zertifikat mit neuem Schlüssel zu erstellen.

Wichtig: Ihr altes Zertifikat sollten Sie unbedingt aufbewahren, da ansonsten alle damit verschlüsselten Daten, wie z.B. E-Mails, nicht mehr lesbar sind!

 

Sperren eines Zertifikates

Sie können Ihr Zertifikat sperren lassen, wenn Sie befürchten, dass Ihr geheimer Schlüssel ausspioniert wurde und das Zertifikat von unberechtigten Personen genutzt werden könnte. Ein anderer möglicher Grund ist, dass Ihr geheimer Schlüssel verloren gegangen ist, z. B. nach Absturz und Neuinstallation Ihres Rechners, auf dem der private Schlüssel installiert war.

Durch das Sperren wird ein Zertifikat auf die sogenannte Sperrliste (CRL- Certificate revocation list) gesetzt. Diese enthält die Seriennummern von Zertifikaten, die vor Ablauf ihrer regulären Gültigkeit für ungültig erklärt wurden.

Zum Sperren besuchen Sie die dafür vorgesehene Webseite des DFN-Vereins und geben dort die Seriennummer des Zertifikates und auf Wunsch den Grund für die Sperrung ein. Die Angabe eines Grundes hilft beim späteren Nachvollziehen des Vorganges.

Die Seriennummer finden Sie in der Mail, mit der Ihnen das Zertifikat von der Zertifizierungsstelle zugeschickt wurde. Falls Sie die Seriennummer nicht mehr finden können, wechseln Sie auf der Webseite zu „Zertifikat suchen“ und geben die Mailadresse (bei Benutzer-Zertifikaten) oder den Servernamen (bei Server-Zertifikaten) ein. Sie erhalten eine Liste von Seriennummern der Zertifikate, auf die die Suchanfrage passt.

Nachdem Sie die Seriennummer und evtl. den Grund abgeschickt haben werden Sie nach der PIN gefragt, die Sie bei der Beantragung angegeben haben. Ohne diese PIN sind Sie nicht in der Lage, die Sperrung durchzuführen und müssen die Hilfe der Registrierungsstelle in Anspruch nehmen.

Wenn Ihr Antrag zur Sperrung gelingt, wird die Registrierungsstelle automatisch informiert und schließt den Sperrvorgang mit der Genehmigung ab.

Anschließend erscheint das Zertifikat mit Seriennummer in den öffentlich zugänglichen Sperrlisten des DFN-Vereins, kann eingesehen und von den diversen Web-Clients (Browser, Mailprogramme usw.) automatisch ausgelesen werden.

 

Installieren der Sperrliste

Sie sollten sich einmal mit Ihrem Browser auf die Sperrlisten-Seite begeben und die Liste installieren. Danach ist der Browser in der Lage, fremde Zertifikate auf Sperrung zu überprüfen. Der Browser aktualisiert automatisch die Liste in konfigurierbaren Abständen.

Um die Sperrliste in den Zertifikats-Einstellungen zu importieren, müssen Sie in der angezeigten Maske einfach nur auf den Link der Sperrliste klicken. Sie bekommen auf dieser Seite neben der Liste für das aktuelle Sicherheitsniveau „Global“ (oben im Menue) auch die Sperrliste für das Sicherheitsniveau „Basic“ (Hinweis im Text) angeboten.

Einige weitere Hinweise und Bildschirmkopien finden Sie auf der Seite Zertifikats-Sperrlisten in der Linksammlung zur Dokumentation.

 

Kontakt

Die Zertifizierungsstelle befindet sich im Rechenzentrum, Hermann-Herder-Straße 10.

Lesen Sie näheres auf der Zeite der Zertifizierungsstelle!

 

Benutzerspezifische Werkzeuge