In the web area, you can recognize encryption by the protocol name "HTTPS". The server needs a certificate to be able to identify itself as 'legit' to the requesting client. 

Since the end of 2015, there has been a free certificate authority called Let's Encrypt. This is represented in the common browsers and e-mail programs, so visitors to websites that are operated with Let's Encrypt-based certificates do not receive any security warnings, as would be the case with so-called self-signed certificates. The RRZK also uses this service for the majority of the web servers it operates, so that certificates are automatically renewed and in some cases also generated. Newly created web presences, which are administrated by us (e.g. web projects, TYPO3 pages), automatically receive a certificate from Let's Encrypt and are thus accessible via https(-only).

If you operate your own web server, for example a virtual machine at the RRZK, we recommend using Let's Encrypt for this as well.

Wenn die Nutzung von Let’s Encrypt nicht infrage kommt (z.B. bei Servern, die nur intern erreichbar sein sollen), gehen Sie wie folgt vor: Request-Datei und Key sind selbst zu erstellen. Sie können dazu „OpenSSL“ nutzen. Ein Antrag muss als CommonName (CN) den Namen des Servers enthalten, so wie er nachher (bspw. im Web-Browser) auch angesprochen wird. Wenn Ihre geplante Anwendung dies bereits unterstützt, empfehlen wir die Verwendung von Zertifikaten mit sogenannter Elliptic-Curve-Verschlüsselung, da diese bei gleicher Sicherheit mit kürzeren Schlüssellängen auskommt und daher deutlich performanter ist.

Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" (eine lange Zeile):

 

openssl req -nodes -subj "/CN=webdesign.uni-koeln.de/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE" -newkey ec -pkeyopt ec_paramgen_curve:secp384r1 -out req.pem -keyout key.pem

 

Wenn Sie sich nicht sicher sind, ob Ihre Anwendung Zertifikate mit Elliptic-Curve akzeptiert, können Sie auch das altbewährte RSA verwenden:

 

openssl req -newkey rsa:4096 -out req.pem -keyout key.pem -subj "/CN=webdesign.uni-koeln.de/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE"

 

Wenn Sie darüber hinaus weitere Servernamen im Zertifikat benötigen, können Sie diese über das Attribut "subjectAltName" hinzufügen, z.B.:

 

-addext "subjectAltName = DNS:nocheintollername.uni-koeln.de"

 

Die „key.pem“-Datei halten Sie geheim, die „req.pem“-Datei ist bei der Schnittstelle zur CA zu verwenden. Dort verwenden Sie bitte den “Academic Login”, wählen die “Universität zu Köln” als Heimateinrichtung aus und identifizieren sich dem System gegenüber mit Ihrem Uni-Account. Klicken Sie dann im linken Menü auf “Server” und tragen Sie unter “Add Domains Manually” alle Domainnamen ein, die Sie auch im OpenSSL-Kommando angegeben haben. Als Zertifikatstyp wählen Sie bitte “For enterprises or organizations (OV)” und bestätigen die vorgegebenen Organisationsinformationen. Nachdem Sie alle Daten noch einmal bestätigt haben, können Sie den Inhalt der zuvor erzeugten “req.pem”-Datei per Copy&Paste in das Formular einfügen. Wählen Sie hierzu “Submit CSR manually” und stellen Sie sicher, dass Sie den gesamten Inhalt der Datei (mit “Begin”- und “End”-Zeile) eingefügt haben. Nach dem finalen “Submit request” werden Sie per E-Mail informiert, sobald Ihr Zertifikat von einem Admin signiert wurde und zur Abholung bereit steht.