Im Webbereich erkennen Sie eine Verschlüsselung anhand des Protokollnamens „HTTPS“. Der Server benötigt ein Zertifikat, um sich gegenüber dem anfragenden Client als „echt“ ausweisen zu können. 

Seit Ende 2015 gibt es die freie und kostenlose Zertifizierungsstelle Let’s Encrypt. Diese ist in den gängigen Browsern und E-Mail-Programmen vertreten, daher erhalten Besucher von Webseiten, die mit Let’s-Encrypt-basierten Zertifikaten betrieben werden, keine Sicherheitswarnungen, wie es bei sog. self-signed-Zertifikaten der Fall wäre. Auch das RRZK nutzt für den Großteil der betriebenen Webserver diesen Service, so dass Zertifikate automatisch erneuert und z.T. auch erzeugt werden. Neu angelegte Webauftritte, die von uns administriert werden (z.B. Webprojekte, TYPO3-Seiten), erhalten automatisch ein Zertifikat von Let’s Encrypt und sind somit per https(-only) erreichbar.

Sollten Sie einen eigenen Webserver betreiben, beispielsweise eine Virtuelle Maschine am RRZK, empfehlen wir Ihnen auch hierfür Let’s Encrypt zu verwenden.

Wenn die Nutzung von Let’s Encrypt nicht infrage kommt (z.B. bei Servern, die nur intern erreichbar sein sollen), gehen Sie wie folgt vor: Request-Datei und Key sind selbst zu erstellen. Sie können dazu „OpenSSL“ nutzen. Ein Antrag muss als CommonName (CN) den Namen des Servers enthalten, so wie er nachher (bspw. im Web-Browser) auch angesprochen wird. Wenn Ihre geplante Anwendung dies bereits unterstützt, empfehlen wir die Verwendung von Zertifikaten mit sogenannter Elliptic-Curve-Verschlüsselung, da diese bei gleicher Sicherheit mit kürzeren Schlüssellängen auskommt und daher deutlich performanter ist.

Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" (eine lange Zeile):

 

openssl req -nodes -subj "/CN=webdesign.uni-koeln.de/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE" -newkey ec -pkeyopt ec_paramgen_curve:secp384r1 -out req.pem -keyout key.pem

 

Wenn Sie sich nicht sicher sind, ob Ihre Anwendung Zertifikate mit Elliptic-Curve akzeptiert, können Sie auch das altbewährte RSA verwenden:

 

openssl req -newkey rsa:4096 -out req.pem -keyout key.pem -subj "/CN=webdesign.uni-koeln.de/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE"

 

Wenn Sie darüber hinaus weitere Servernamen im Zertifikat benötigen, können Sie diese über das Attribut "subjectAltName" hinzufügen, z.B.:

 

-addext "subjectAltName = DNS:nocheintollername.uni-koeln.de"

 

Die „key.pem“-Datei halten Sie geheim, die „req.pem“-Datei ist bei der Schnittstelle zur CA zu verwenden. Dort verwenden Sie bitte den “Academic Login”, wählen die “Universität zu Köln” als Heimateinrichtung aus und identifizieren sich dem System gegenüber mit Ihrem Uni-Account. Klicken Sie dann im linken Menü auf “Server” und tragen Sie unter “Add Domains Manually” alle Domainnamen ein, die Sie auch im OpenSSL-Kommando angegeben haben. Als Zertifikatstyp wählen Sie bitte “For enterprises or organizations (OV)” und bestätigen die vorgegebenen Organisationsinformationen. Nachdem Sie alle Daten noch einmal bestätigt haben, können Sie den Inhalt der zuvor erzeugten “req.pem”-Datei per Copy&Paste in das Formular einfügen. Wählen Sie hierzu “Submit CSR manually” und stellen Sie sicher, dass Sie den gesamten Inhalt der Datei (mit “Begin”- und “End”-Zeile) eingefügt haben. Nach dem finalen “Submit request” werden Sie per E-Mail informiert, sobald Ihr Zertifikat von einem Admin signiert wurde und zur Abholung bereit steht.