Zertifikate dienen dazu, vertrauliche Daten, die über das Internet gesendet werden (zum Beispiel Passwörter), so zu verschlüsseln, dass sie nicht von potentiellen Angreifern abgefangen und gelesen werden können. Bei Webseiten ist dies erkennbar am Protokollnamen "https" (statt "http").

Zertifikate werden von verschiedenen Anbietern vergeben und sorgen dafür, dass die Verschlüsselung ohne Zutun des Benutzers im Hintergrund geschieht. Um zu gewährleisten, dass ein Zertifikat tatsächlich vom vorgegebenen Anbieter stammt, werden sie von sogenannten Zertifizierungsstellen (englisch "certification authority", CA) signiert und veröffentlicht.

Die Zertifizierungsstelle der Universität zu Köln ist dem DFN-Verein und damit dem Root-Zertifikat der Deutschen Telekom angeschlossen. Die Root-Zertifikate der Deutschen Telekom sind in den gängigen Browsern und E-Mail-Clients bereits implementiert. Damit sind auch die Zertifikate der DFN PCA und somit der CA Uni Köln bekannt und erzeugen keine Warnungen. Alle von der CA der Uni Köln ausgestellten oder widerrufenen Zertifikate sind aufgelistet unter:

Schnittstelle der Uni Köln CA

In der Regel ist keine gesonderte Aktion des Nutzers notwendig, um auf die Webseiten oder Mailserver der Uni Köln mit einer gesicherten Verbindung zuzugreifen, sofern eine aktuelle Version eines der folgenden Programme verwendet wird:

Browser:

• Microsoft Internet Explorer
• Mozilla Firefox (ab 3.0.12)
• Opera (ab Version 10)
• Apple Safari (ab Snow Leopard)

Mailklienten:

• Microsoft Outlook
• Outlook Express / Windows Mail
• Mozilla Thunderbird (ab 2.0.0.23)
• Apple Mail.app (ab Snow Leopard)

Sollten Sie eine ältere Version oder ein anderes Programm (zum Beispiel Eudora, Pine, Mutt, Konqueror, Epiphany) verwenden, müssen Sie gegebenenfalls die Zertifikate einmalig in Ihr Programm importieren. Sie erhalten in diesem Fall eine Warnung Ihres Programms, die beispielsweise so aussehen könnte:

Das Importieren der Root-Zertifikate erfolgt am einfachsten über die

Schnittstelle der Uni Köln CA

Dort werden folgende CA-Zertifikate für einen Import im Browser angeboten:

• Wurzelzertifikat (Deutsche Telekom),
• DFN-PCA Zertifikat und
• UniKoeln CA Zertifikat

Über einen Klick auf die entsprechende Schaltfläche importieren Sie einfach alle genannten Zertifikate in Ihren Browser (für den Zugriff auf die meisten Server genügt zwar das Wurzelzertifikat, Spezialfälle wie zum Beispiel Microsoft Exchange Server benötigen aber gegebenenfalls alle drei). Sollte Ihr Browser nach dem erlaubten Zweck der Zertifikate fragen, akzeptieren Sie bitte alle Optionen:

Sollten Sie die Zertifikate nicht in Ihrem Browser, sondern in einem anderen Programm (zum Beispiel E-Mail-Client) benötigen, speichern Sie die Zertifikate bitte lokal auf Ihrem PC (rechte Maustaste auf die Schaltflächen, "Ziel speichern unter...") und importieren Sie die gespeicherten Dateien anschließend in das gewünschte Programm. Zur genauen Vorgehensweise konsultieren Sie bitte die Dokumentation Ihres Programms.

Da vor dem Import der oben angeführten Zertifikate in der Regel das Zertifikat des oben angeführten Servers pki.pca.dfn.de dem Browser unbekannt sein wird, wird vorher der übliche Sicherheitshinweis ausgegeben, bei dem eine der beiden ersten beiden Optionen zu wählen ist:

Anmerkung: Sollten Sie (insbesondere mit Firefox bis einschließlich 3.0.11) Probleme haben, auf die oben genannte Seite zuzugreifen, können Sie die Root-Zertifikate (im crt-Format) auch von den Seiten des DFN importieren:

Import der Wurzel- und CA-Zetifikate 

Serverzertifikate:

Wenn Sie selbst eine Webseite oder einen Mailserver an der Uni Köln betreuen und für verschlüsselte Verbindungen ein Zertifikat benötigen, können Sie zwei unterschiedliche Arten von Zertifikaten beantragen:

• Zertifikat zur Verwendung in einem vom RRZK gehosteten Webserver ("Webprojekt"): Sofern Sie bei der Antragstellung für Ihr Webprojekt die Option „SSL“ angegeben haben, ist die Erstellung eines Serverzertifikats erforderlich. Bitte vereinbaren Sie hierfür einen Termin mit dem CA-Master-Team zur persönlichen Authentifizierung (Personalausweis nicht vergessen). Der Key bleibt in diesem Fall in den Händen des Rechenzentrums.
  
  Weitere Informationen zu Webprojekten
  
  Eine nachträgliche Umstellung Ihres Projektes auf SSL ist nur mit erhöhtem Aufwand und mit temporärer Abschaltung Ihres Projektes möglich. Bitte bedenken Sie daher gleich beim Antrag, ob Sie SSL benötigen oder nicht.

• Zertifikat zur Verwendung in einem selbst betriebenen Server: In diesem Fall erstellen Sie bitte selbst eine Request-Datei und einen Key für Ihr Zertifikat. Sie können dazu die Software "OpenSSL" verwenden, ein korrekter Antrag muss dabei als CommonName (CN) den Namen des Servers und als Organisational Unit (OU) den Namen Ihrer Einrichtung (ohne Umlaute) enthalten.
  
  Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" des "Instituts für Webdesign" (eine Zeile):
  
  

  openssl req -newkey rsa:2048 -out req.pem -keyout key.pem -subj '/CN=webdesign.uni-koeln.de/ 
  OU=Institut fuer Webdesign/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE'

  
  
  Die dabei erzeugte Datei "key.pem" halten Sie geheim (das eingegebene Passwort ebenfalls). Die Datei "req.pem" können Sie nun bei der Schnittstelle zur CA nebst einigen weiteren Informationen zum Zertifikatsantrag verwenden (Registerkarte "Zertifikate => Serverzertifikat"). Vereinbaren Sie dann bitte einen Termin mit dem CA-Master-Team zur persönlichen Authentifizierung und bringen Sie dabei Ihren Personalausweis und den schriftlichen Antrag mit, den Sie auf der oben genannten Schnittstellenseite erhalten.
  
  

Nutzerzertifikate:

Jeder Mitarbeiter der Universität zu Köln (keine Studenten, keine SHKs) kann ein persönliches Zertifikat beantragen, welches zur Verschlüsselung oder Signierung nach dem S/MIME-Standard geeignet ist.

Schnittstelle zur Beantragung von Nutzerzertifikaten

Bitte melden Sie sich anschließend per E-Mail unter Angabe Ihres Uni-Accounts  beim CA-Master-Team zur persönlichen Authentifizierung und bringen Sie dabei Ihren Personalausweis und den schriftlichen Antrag mit, den Sie auf der oben genannten Schnittstellenseite erhalten.

Weitere Informationen:

S/MIME-Dokumentation des RRZK