Im Webbereich erkennen Sie eine Verschlüsselung anhand des Protokollnamens „HTTPS“. Der Server benötigt ein Zertifikat, um sich gegenüber dem anfragenden Client als „echt“ ausweisen zu können. 

Seit Ende 2015 gibt es die freie und kostenlose Zertifizierungsstelle Let’s Encrypt. Diese ist in den gängigen Browsern und E-Mail-Programmen vertreten, daher erhalten Besucher von Webseiten, die mit Let’s-Encrypt-basierten Zertifikaten betrieben werden, keine Sicherheitswarnungen, wie es bei sog. self-signed-Zertifikaten der Fall wäre. Auch das RRZK nutzt für den Großteil der betriebenen Webserver diesen Service, so dass Zertifikate automatisch erneuert und z.T. auch erzeugt werden. Neu angelegte Webauftritte, die von uns administriert werden (z.B. Webprojekte, TYPO3-Seiten), erhalten automatisch ein Zertifikat von Let’s Encrypt und sind somit per https(-only) erreichbar.

Sollten Sie einen eigenen Webserver betreiben, beispielsweise eine Virtuelle Maschine am RRZK, empfehlen wir Ihnen auch hierfür Let’s Encrypt zu verwenden.

Webserver (gehostet vom RRZK)

Sie erhalten bei neuen Webauftritten auf den zentralen Webservern des RRZK automatisch ein Zertifikat von Let’s Encrypt (s.o.). 

Eine nachträgliche Umstellung eines beim RRZK gehosteten Webprojekts auf „SSL“ mit Let’s-Encrypt-Zertfikaten ist möglich, jedoch können dabei für Sie als Betreuer des Projekts je nach den genauen Umständen auch einige Arbeiten anfallen (Umstellung aller Links auf „https“). Melden Sie sich in dem Fall bitte beim Webmaster-Team. 

Selbst betriebene Server

Im Fall eines selbst betriebenen Webservers empfehlen wir die Nutzung eines Zertifikats von Let’s Encrypt (s.o.). Anleitungen hierzu finden Sie zahlreich im Netz.

Wenn die Nutzung von Let’s Encrypt nicht infrage kommt (z.B. bei Servern, die nur intern erreichbar sein sollen) oder Sie aus anderen zwingenden Gründen ein Zertifikat aus der dem DFN angeschlossenen UniKoelnCA wünschen, gehen Sie wie folgt vor: Request-Datei und Key sind selbst zu erstellen. Sie können dazu „OpenSSL“ nutzen. Ein Antrag muss als CommonName (CN) den Namen des Servers enthalten, so wie er nachher (bspw. im Web-Browser) auch angesprochen wird. Wenn Ihre geplante Anwendung dies bereits unterstützt, empfehlen wir die Verwendung von Zertifikaten mit sogenannter Elliptic-Curve-Verschlüsselung, da diese bei gleicher Sicherheit mit kürzeren Schlüssellängen auskommt und daher deutlich performanter ist.

Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" (eine lange Zeile):

 

openssl req -nodes -subj "/CN=webdesign.uni-koeln.de/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE" -newkey ec -pkeyopt ec_paramgen_curve:secp384r1 -out req.pem -keyout key.pem

 

Wenn Sie sich nicht sicher sind, ob Ihre Anwendung Zertifikate mit Elliptic-Curve akzeptiert, können Sie auch das altbewährte RSA verwenden:

 

openssl req -newkey rsa:4096 -out req.pem -keyout key.pem -subj "/CN=webdesign.uni-koeln.de/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE"

 

Wenn Sie darüber hinaus weitere Servernamen im Zertifikat benötigen, können Sie diese über das Attribut "subjectAltName" hinzufügen, z.B.:

 

-addext "subjectAltName = DNS:nocheintollername.uni-koeln.de"

 

Die „key.pem“-Datei halten Sie geheim, die „req.pem“-Datei ist bei der Schnittstelle zur CA mit dem Zertifikatsantrag zu verwenden. Sie identifizieren sich dem System gegenüber mit Ihrem Uni-Account und wählen dann bitte unter "Select Enrollment Account" die Option "UzK General" aus.