Zertifizierungsstelle der Universität zu Köln

Zertifikate dienen dem Schutz vertraulicher Daten. Daten werden bei der Übertragung durch eine automatische Verschlüsselung vor ungewünschten Zugriffen geschützt. Im Webbereich erkennen Sie eine Verschlüsselung anhand des Protokollnamens „HTTPS“. Der Server benötigt ein Zertifikat, um sich gegenüber dem anfragenden Client als „echt“ ausweisen zu können. Um die Authentizität eines Zertifikats zu gewährleisten, wird dieses von sogenannten Zertifizierungsstellen (englisch „certification authority“, CA) signiert und veröffentlicht.

Let’s Encrypt

Seit Ende 2015 gibt es die freie und kostenlose Zertifizierungsstelle Let’s Encrypt. Diese ist in den gängigen Browsern und E-Mail-Programmen vertreten, daher erhalten Besucher von Webseiten, die mit Let’s-Encrypt-basierten Zertifikaten betrieben werden, keine Sicherheitswarnungen, wie es bei sog. self-signed-Zertifikaten der Fall wäre. Auch das RRZK nutzt für den Großteil der betriebenen Webserver diesen Service, so dass Zertifikate automatisch erneuert und z.T. auch erzeugt werden. Neu angelegte Webauftritte, die von uns administriert werden (z.B. Webprojekte, TYPO3-Seiten), erhalten automatisch ein Zertifikat von Let’s Encrypt und sind somit per https(-only) erreichbar.

Sollten Sie einen eigenen Webserver betreiben, beispielsweise eine Virtuelle Maschine am RRZK, empfehlen wir Ihnen auch hierfür Let’s Encrypt zu verwenden. Anleitung zur Einrichtung finden Sie leicht im Netz.

Über die Zertifizierungsstelle (CA) der Universität zu Köln

Zudem betreibt das RRZK eine CA im Rahmen des DFN-Vereins. Auch Zertifikate der CA Universität zu Köln sind durch ihre Kopplung an den DFN-Verein und die Deutsche Telekom den gängigen Browsern und E-Mail-Programmen bekannt. Daher sollten Sie keine Warnungen bekommen.

Ausgestellte oder widerrufene Zertifikate der CA der Universität zu Köln.

In den meisten Fällen ist das Importieren von Wurzelzertifikaten nicht erforderlich, da diese in den gängigen Betriebssystemen als vertrauenswürdige Zertifikate vorinstalliert sind. Sollte ein Import dennoch erforderlich sein, können Sie diesen über die Schnittstelle der Universität zu Köln CA erhalten. Folgen Sie dazu den Hinweisen des DFN.

Beantragung von Zertifikaten

Zertifikat zur Verwendung in einem vom RRZK gehosteten Webserver

Sie erhalten bei neuen Webauftritten auf den zentralen Webservern des RRZK automatisch ein Zertifikat von Let’s Encrypt (s.o.). Sollten Sie stattdessen aus zwingenden Gründen ein Zertifikat aus der dem DFN angeschlossenen UniKoelnCA wünschen, melden Sie sich bitte beim CA-Master-Team und vereinbaren Sie einen Termin. Bringen Sie bitte Ihren Personalausweis mit. Der Key bleibt in den Händen des RRZK.

Eine nachträgliche Umstellung eines beim RRZK gehosteten Webprojekts auf „SSL“ mit Let’s-Encrypt-Zertfikaten ist möglich, jedoch können dabei für Sie als Betreuer des Projekts je nach den genauen Umständen auch einige Arbeiten anfallen (Umstellung aller Links auf „https“). Melden Sie sich in dem Fall bitte beim Webmaster-Team. Die nachträgliche Umstellung auf SSL mit DFN-Zertifikaten ist mit deutlich höherem Aufwand verbunden und wird in aller Regel nicht mehr durchgeführt.

Zertifikat zur Verwendung in einem selbst betriebenen Server

Im Fall eines selbst betriebenen Webservers empfehlen wir die Nutzung eines Zertifikats von Let’s Encrypt (s.o.). Anleitungen hierzu finden Sie zahlreich im Netz.

Wenn die Nutzung von Let’s Encrypt nicht infrage kommt (z.B. bei Servern, die nur intern erreichbar sein sollen) oder Sie aus anderen zwingenden Gründen ein Zertifikat aus der dem DFN angeschlossenen UniKoelnCA wünschen, gehen Sie wie folgt vor: Request-Datei und Key sind selbst zu erstellen. Sie können dazu „OpenSSL“ nutzen. Ein Antrag muss als CommonName (CN) den Namen des Servers und als Organisational Unit (OU) den Namen Ihrer Einrichtung (ohne Umlaute) enthalten.

Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" des "Instituts für Webdesign" (eine lange Zeile):

openssl req -newkey rsa:2048 -out req.pem -keyout key.pem -subj '/CN=webdesign.uni-koeln.de/OU=Institut fuer Webdesign/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE'

Die „key.pem“-Datei halten Sie geheim, die „req.pem“-Datei ist bei der Schnittstelle zur CA mit dem Zertifikatsantrag zu verwenden. Melden Sie sich anschließend beim RRZK-Helpdesk zur persönlichen Authentifizierung. Bringen Sie dazu Ihren Personalausweis und den schriftlichen Antrag mit.

Persönliche Zertifikate

Wir stellen Mitarbeiterinnen und Mitarbeitern der Universität zu Köln Zertifikate für „@uni-koeln.de“-E-Mail-Adressen aus. Die Verschlüsselung erfolgt nach dem S/MIME-Standard. Zur persönlichen Authentifizierung melden Sie sich beim RRZK-Helpdesk mit Ihrem Personalausweis und dem schriftlichen Antrag, nachdem Sie diesen durch Ausfüllen des folgenden Formulars erhalten haben:

Schnittstelle zur Beantragung von „Nutzungszertifikaten“

Kontakt
Bei Fragen und für individuellen Support wenden Sie sich bitte an den RRZK-Helpdesk