zum Inhalt springen

Zertifikate für Server

Im Webbereich erkennen Sie eine Verschlüsselung anhand des Protokollnamens „HTTPS“. Der Server benötigt ein Zertifikat, um sich gegenüber dem anfragenden Client als „echt“ ausweisen zu können. 

Seit Ende 2015 gibt es die freie und kostenlose Zertifizierungsstelle Let’s Encrypt. Diese ist in den gängigen Browsern und E-Mail-Programmen vertreten, daher erhalten Besucher von Webseiten, die mit Let’s-Encrypt-basierten Zertifikaten betrieben werden, keine Sicherheitswarnungen, wie es bei sog. self-signed-Zertifikaten der Fall wäre. Auch das RRZK nutzt für den Großteil der betriebenen Webserver diesen Service, so dass Zertifikate automatisch erneuert und z.T. auch erzeugt werden. Neu angelegte Webauftritte, die von uns administriert werden (z.B. Webprojekte, TYPO3-Seiten), erhalten automatisch ein Zertifikat von Let’s Encrypt und sind somit per https(-only) erreichbar.

Sollten Sie einen eigenen Webserver betreiben, beispielsweise eine Virtuelle Maschine am RRZK, empfehlen wir Ihnen auch hierfür Let’s Encrypt zu verwenden.

Beantragung

Webserver (gehostet vom RRZK)

Sie erhalten bei neuen Webauftritten auf den zentralen Webservern des RRZK automatisch ein Zertifikat von Let’s Encrypt (s.o.). Sollten Sie stattdessen aus zwingenden Gründen ein Zertifikat aus der dem DFN angeschlossenen UniKoelnCA wünschen, melden Sie sich bitte beim CA-Master-Team und vereinbaren Sie einen Termin. Bringen Sie bitte Ihren Personalausweis mit. Der Key bleibt in den Händen des RRZK.

Eine nachträgliche Umstellung eines beim RRZK gehosteten Webprojekts auf „SSL“ mit Let’s-Encrypt-Zertfikaten ist möglich, jedoch können dabei für Sie als Betreuer des Projekts je nach den genauen Umständen auch einige Arbeiten anfallen (Umstellung aller Links auf „https“). Melden Sie sich in dem Fall bitte beim Webmaster-Team. Die nachträgliche Umstellung auf SSL mit DFN-Zertifikaten ist mit deutlich höherem Aufwand verbunden und wird in aller Regel nicht mehr durchgeführt.

Selbst betriebene Server

Im Fall eines selbst betriebenen Webservers empfehlen wir die Nutzung eines Zertifikats von Let’s Encrypt (s.o.). Anleitungen hierzu finden Sie zahlreich im Netz.

Wenn die Nutzung von Let’s Encrypt nicht infrage kommt (z.B. bei Servern, die nur intern erreichbar sein sollen) oder Sie aus anderen zwingenden Gründen ein Zertifikat aus der dem DFN angeschlossenen UniKoelnCA wünschen, gehen Sie wie folgt vor: Request-Datei und Key sind selbst zu erstellen. Sie können dazu „OpenSSL“ nutzen. Ein Antrag muss als CommonName (CN) den Namen des Servers und als Organisational Unit (OU) den Namen Ihrer Einrichtung (ohne Umlaute) enthalten.

Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" des "Instituts für Webdesign" (eine lange Zeile):

 

openssl req -newkey rsa:2048 -out req.pem -keyout key.pem -subj '/CN=webdesign.uni-koeln.de/OU=Institut fuer Webdesign/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE'

 

Die „key.pem“-Datei halten Sie geheim, die „req.pem“-Datei ist bei der Schnittstelle zur CA mit dem Zertifikatsantrag zu verwenden. Melden Sie sich anschließend beim RRZK-Helpdesk zur persönlichen Authentifizierung. Bringen Sie dazu Ihren Personalausweis und den schriftlichen Antrag mit.