skip to content

Zertifizierungsstelle der Universität zu Köln

Zweck von Zertifikaten

Zertifikate dienen dazu, vertrauliche Daten, die über das Internet gesendet werden (zum Beispiel Passwörter), zu verschlüsseln, so dass sie nicht von potentiellen Angreifern abgefangen und gelesen werden können. Bei Webseiten ist dies erkennbar am Protokollnamen "https" (statt "http").

Zertifikate werden von verschiedenen Anbietern vergeben und sorgen dafür, dass die Verschlüsselung ohne Zutun des Benutzenden im Hintergrund geschieht. Um zu gewährleisten, dass ein Zertifikat tatsächlich vom vorgegebenen Anbieter stammt, werden sie von sogenannten Zertifizierungsstellen (englisch "certification authority", CA) signiert und veröffentlicht.

Über die Zertifizierungsstelle (CA) der Universität zu Köln

Die Zertifizierungsstelle der Universität zu Köln ist dem DFN-Verein und dadurch dem Root-Zertifikat der Deutschen Telekom angeschlossen. Die Root-Zertifikate der Deutschen Telekom sind in den gängigen Browsern und E-Mail-Clients bereits implementiert. Damit sind auch die Zertifikate der DFN PCA und somit der CA Uni Köln bekannt und erzeugen keine Warnungen. Alle von der CA der Uni Köln ausgestellten oder widerrufenen Zertifikate sind aufgelistet unter:

Schnittstelle der Uni Köln CA

WICHTIG: Bis Mitte 2016 hat die Uni Köln Zertifikate innerhalb der DFN-PKI Global (Gen. 1) ausgestellt. Zertifikate aus dieser Zeit finden Sie unter:

Schnittstelle der Uni Köln CA Generation 1 (bis Mitte 2016)

Beachten Sie auch, dass Sie die dortige Zertifikatskette für Ihren Server benötigen, wenn Sie ein Zertifikat aus dieser CA einsetzen!

Umgang mit Zertifikaten

In der Regel ist keine gesonderte Aktion des Nutzenden notwendig, um auf die Webseiten oder Mailserver der Uni Köln mit einer gesicherten Verbindung zuzugreifen, sofern eine aktuelle Version eines der folgenden Programme verwendet wird:

Browser:

  • Microsoft Internet Explorer
  • Mozilla Firefox (ab 3.0.12)
  • Opera (ab Version 10)
  • Apple Safari (ab Snow Leopard)

Mailklienten:

  • Microsoft Outlook
  • Outlook Express / Windows Mail
  • Mozilla Thunderbird (ab 2.0.0.23)
  • Apple Mail.app (ab Snow Leopard)

Sollten Sie eine ältere Version oder ein anderes Programm (zum Beispiel Eudora, Pine, Mutt, Konqueror, Epiphany) verwenden, müssen Sie gegebenenfalls die Zertifikate einmalig in Ihr Programm importieren. Sie erhalten in diesem Fall eine Warnung Ihres Programms, die beispielsweise so aussehen könnte:

Screenshot einer Warnung

Das Importieren der Root-Zertifikate erfolgt am einfachsten über die

Schnittstelle der Uni Köln CA

Dort werden folgende CA-Zertifikate für einen Import im Browser angeboten:

  • Wurzelzertifikat,
  • DFN-PCA-Zertifikat und
  • DFN-CA Global G2-Zertifikat

Über einen Klick auf die entsprechende Schaltfläche importieren Sie einfach alle genannten Zertifikate in Ihren Browser (für den Zugriff auf die meisten Server genügt zwar das Wurzelzertifikat, Spezialfälle wie zum Beispiel Microsoft Exchange Server benötigen aber gegebenenfalls alle drei). Sollte Ihr Browser nach dem erlaubten Zweck der Zertifikate fragen, akzeptieren Sie bitte alle Optionen:

Screenshot: Zertifikat akzeptieren

Sollten Sie die Zertifikate nicht in Ihrem Browser, sondern in einem anderen Programm (zum Beispiel E-Mail-Client) benötigen, speichern Sie die Zertifikate bitte lokal auf Ihrem PC (rechte Maustaste auf die Schaltflächen, "Ziel speichern unter...") und importieren Sie die gespeicherten Dateien anschließend in das gewünschte Programm. Zur genauen Vorgehensweise konsultieren Sie bitte die Dokumentation Ihres Programms.

Da vor dem Import der oben angeführten Zertifikate in der Regel das Zertifikat des oben angeführten Servers pki.pca.dfn.de dem Browser unbekannt sein wird, wird vorher der übliche Sicherheitshinweis ausgegeben, bei dem eine der beiden ersten beiden Optionen zu wählen ist:

Screenshot: Sicherheitshinweis

Beantragen von Zertifikaten

Serverzertifikate:

Wenn Sie selbst eine Webseite oder einen Mailserver an der Uni Köln betreuen und für verschlüsselte Verbindungen ein Zertifikat benötigen, können Sie zwei unterschiedliche Arten von Zertifikaten beantragen:

  • Zertifikat zur Verwendung in einem vom RRZK gehosteten Webserver ("Webprojekt"): Sofern Sie bei der Antragstellung für Ihr Webprojekt die Option „SSL“ angegeben haben, ist die Erstellung eines Serverzertifikats erforderlich. Bitte vereinbaren Sie hierfür einen Termin mit dem CA-Master-Team zur persönlichen Authentifizierung (Personalausweis nicht vergessen). Der Key bleibt in diesem Fall in den Händen des Rechenzentrums.

    Weitere Informationen zu Webprojekten

    Eine nachträgliche Umstellung Ihres Projektes auf SSL ist nur mit erhöhtem Aufwand möglich. Bitte bedenken Sie daher gleich beim Antrag, ob Sie SSL benötigen oder nicht.

  • Zertifikat zur Verwendung in einem selbst betriebenen Server: In diesem Fall erstellen Sie bitte selbst eine Request-Datei und einen Key für Ihr Zertifikat. Sie können dazu die Software "OpenSSL" verwenden, ein korrekter Antrag muss dabei als CommonName (CN) den Namen des Servers und als Organisational Unit (OU) den Namen Ihrer Einrichtung (ohne Umlaute) enthalten.

    Beispiel: Aufruf für den Server "webdesign.uni-koeln.de" des "Instituts für Webdesign" (eine Zeile):

    openssl req -newkey rsa:2048 -out req.pem -keyout key.pem -subj '/CN=webdesign.uni-koeln.de/ 
    OU=Institut fuer Webdesign/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE'



    Die dabei erzeugte Datei "key.pem" halten Sie geheim (das eingegebene Passwort ebenfalls). Die Datei "req.pem" können Sie nun bei der Schnittstelle zur CA nebst einigen weiteren Informationen zum Zertifikatsantrag verwenden (Registerkarte "Zertifikate => Serverzertifikat"). Bitte melden Sie sich anschließend im 2nd-Level-Account (siehe Öffnungszeiten) des RRZK-Helpdesk zur persönlichen Authentifizierung und bringen Sie dabei Ihren Personalausweis und den schriftlichen Antrag mit, den Sie auf der oben genannten Schnittstellenseite erhalten.

Nutzerzertifikate:

Alle Angehörigen der Universität zu Köln (keine Studierenden, keine SHKs) können ein persönliches Zertifikat beantragen, welches zur Verschlüsselung oder Signierung nach dem S/MIME-Standard geeignet ist. Wir sind dabei ausschließlich berechtigt, Zertifikate für "@uni-koeln.de"-Adressen auszustellen.

Schnittstelle zur Beantragung von Nutzerzertifikaten

Bitte melden Sie sich anschließend im 2nd-Level-Account (siehe Öffnungszeiten) des RRZK-Helpdesk zur persönlichen Authentifizierung und bringen Sie dabei Ihren Personalausweis und den schriftlichen Antrag mit, den Sie auf der oben genannten Schnittstellenseite erhalten.

Contact
If you have any questions or problems, please contact the RRZK-Helpdesk