Beantragung von Server-Zertifikaten

über Sectigo

Mit einem Server-Zertifikat wird Ihr Server von einer vertrauenswürdigen Instanz zertifiziert. Nutzenden wird es so möglich, die Authentizität des Servers zweifelsfrei nachzuvollziehen.

Server-Zertifikate können durch verantwortliche IT-Personen der Weimarer Hochschulen beantragt werden.

1. Lesen der Zertifizierungsrichtlinie

Für die Ausstellung von Zertifikaten durch die BU Weimar CA ist die »Zertifizierungsrichtlinie der DFN-PKI« maßgeblich (PDF).


2. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifikatsantrages

Erzeugen Sie für Ihren Server einen Zertifikatsantrag (Certificate Signing Request: CSR) und einen Privaten Schlüssel. Der Zertifikatsantrag wird anschließend in das Antragsformular von Sectigo eingebunden.

Zur Erzeugung von Zertifikatsantrag und privatem Schlüssel können Tools der jeweiligen Server-Software oder openSSL genutzt werden. Die Länge des privaten Schlüssels sollte 4096 Bit betragen.

Verwenden Sie in Ihrem Zertifikatantrag diese Attribute:

  • CN=<hier den zu zertifizierenden Servernamen eintragen>
  • O=Bauhaus-Universitaet Weimar
  • L=Weimar
  • ST=Thueringen
  • C=DE

Eine E-Mail-Adresse darf nicht mehr enthalten sein.

Ausführliche Hinweise und Verlinkungen zu Anleitungen für die Generierung eines CSR mit open SSL finden Sie auf der Seite »Erzeugen eines Zertifikatantrages (Certificate Signing Request: CSR)«.


3. Beantragen des Zertifikats über Sectigo

Schritt 1: Rufen Sie das Portal von »Sectigo« auf, klicken Sie hier auf »Your Institution«:

Screenshot mit Hervorhebung des Schrittes: Auswahl des Identity Provider

Schritt 2: Suchen Sie nach Bauhaus-Universität Weimar und wählen Sie diese durch Anklicken aus:

Screenshot mit Hervorhebung des Schrittes: »Bauhaus-Universität Weimar« suchen und auswählen

Schritt 3: Melden Sie sich mit Ihrer persönlichen Nutzerkennung (Benutzernamen und Passwort) an:

Screenshot mit Hervorhebung des Schrittes: Anmeldung

Schritt 4: Wählen Sie unter »Select Enrollment Account« den Account »Bauhaus-Universität Weimar allgemein (CSR)« aus und klicken Sie dann auf »Next«.

Screenshot mit Hervorhebung des Schrittes: »Enrollment Account« auswählen

Schritt 5: Die Angaben zu »Organization, Department und Email« werden automatisch eingetragen.
Bei »Certificate Profile« sollte »OV Multi-Domain« gewählt werden. Die Laufzeit (Certiticate Term) ist auf 1 Jahr begrenzt.

Über »Upload CSR« laden Sie den zu Beginn erzeugten CSR hoch oder Sie fügen diesen unter »CSR*« direkt ein.

Screenshot mit Hervorhebung des Schrittes: Zertifikatantrag (CSR) hochladen

Schritt 6: Bitte prüfen Sie oder nehmen Sie die folgenden Einträge vor:

  • Der »Common Name« wird aus dem CSR übernommen.
    Bei Bedarf können unter »Subject Alternative Names« entsprechende Einträge vorgenommen werden.
  • Wird unter »External Requester« kein Eintrag vorgenommen wird der Eintrag der E-Mail-Adresse aus »Organization, Department, Email« verwendet. Hier sollte die E-Mail-Adresse der antragstellenden Person eingetragen werden.
  • Das Feld »Comments« ist optional.
  • Aktivieren Sie die Option »Auto Renew«. Es erfolgt eine automatische Erneuerung des Zertifikates mit den gleichen Parametern der Erstbeantragung – das erneuerte Zertifikat erhalten Sie per E-Mail.
    (Der private Schlüssel wird weiter verwendet. Sollten Sie sich nicht sicher sein, ob dieser in der Zwischenzeit kompromittiert wurde, erstellen Sie einen neuen Zertifikatantrag.)
    Unter »Days before expiration« legen Sie fest, wieviel Tage vor Zertifikatsablauf der Erneuerungsprozess gestartet werden soll.

Klicken Sie am Ende auf »Submit«.

Screenshot highlighting the step: Setzen der Optionen und Einreichen des Antrags

4. Herunterladen des Zertifikates

Wenn das beantragte Zertifikat erstellt wurde, erhalten Sie vom System eine E-Mail. Die E-Mail enthält die Certificate ID, die Sie benötigen, um das Zertifikat über das Portal herunterzuladen, zu erneuern oder zu widerrufen. Weiterhin enthält die E-Mail verschiedene Links zum Download des Zertifikates.
Wählen Sie das passende Format aus und laden Sie das Zertifikat herunter. Folgende Möglichkeiten werden angeboten:

Server-Zertifikate:

  • Certificate only, PEM encoded: enthält ausschließlich das Server-Zertifikat im PEM-Format.
  • Certificate (w/issuer after), PEM encoded: enthält als erstes das Server-Zertifikat, dann das Issuing-CA-Zertifikat und das Root-CA-Zertifikat; alle Zertifikate jeweils für sich im PEM-Format – z.B. für Apache / nginx).
  • Certificate (w/chain), PEM encoded: enthält als erstes ein Cross-Zertifikat, es folgen das Root-CA-Zertifikat, das Issuing-CA-Zertifikat der CA-Kette und als letztes das Server-Zertifikat; alle Zertifikate jeweils für sich im PEM-Format.
  • PKCS#7: enthält eine binäre PKCS#7-Struktur, bestehend aus als erstes dem Server-Zertifikat, dann dem Issuing-CA-Zertifikat und dann weitere Intermediate-CA-Zertifikate der CA-Kette und am Ende dem Root-CA-Zertifikat - z.B. für Microsoft IIS.
  • PKCS#7, PEM encoded: enthält eine PEM-formatierte PKCS#7-Struktur, bestehend aus als erstes dem Server-Zertifikat, dann dem Issuing-CA-Zertifikat und dann weitere Intermediate-CA-Zertifikate der CA-Kette und am Ende dem Root-CA-Zertifikat.

CA-Zertifikate:

  • Root/Intermediate(s) only, PEM encoded: enthält die CA-Zertifikatskette (ohne das Server-Zertifikat) von der Root-CA (zuerst) bis hin zur Issuing-CA des Server-Zertifikats, alle Zertifikate jeweils für sich im PEM-Format
  • Intermediate(s)/Root only, PEM encoded: enthält die CA-Zertifikatskette (ohne das Server-Zertifikat) von der Issuing-CA des Server-Zertifikats (zuerst) bis hin zum Root-CA-Zertifikat, alle Zertifikate jeweils für sich im PEM-Format

Wählen Sie das gewünschte Format und laden Sie das Zertifikat herunter.


5. Einpflegen des Zertifikats in den Server

Das Zertifikat muss nun in den Server eingepflegt werden. Hinweise zum Vorgehen finden Sie auf der Seite »Einpflegen von Zertifikat und privatem Schlüssel in den Server«.