Inhalt des Dokuments
Informationen und Anleitungen zu Zertifikaten
- Registrierungsstelle (Registration Authority, RA) der TUB-CA
- Zertifikate
- Zertifikate suchen
- Sperrlisten (CRLs) und Rückruf von Zertifikaten der TUB-CA
- Anleitung für Server-Zertifikate
- Zertifizierungsrichtlinien und Erklärungen zum Zertifizierungsbetrieb
- Beantragung eines Nutzer / Serverzertifikats der Grid-CA der DFN-PKI
Registrierungsstelle (Registration Authority, RA) der TUB-CA
Das Trustcenter der TU-Berlin übernimmt die Aufgaben einer ausgezeichneten Registrierungsstelle (RA) für die TUB-CA und die TUB-Email-CA. Dies beinhaltet insbesondere die Authentifizierung der Teilnehmer. (Zur Zeit sind keine weiteren RAs für die TUB-CA geplant)
Zertifikate
Zertifikate für sichere Email werden seit Einführung der TU Campuskarte nicht mehr separat angeboten, da hierfür die auf der Karte installierten Schlüssel und Zertifikate zum Einsatz kommen.
Ab Version 7 des MS IIE und Version 3 des Mozilla-Firefox Browsers sind die Zertifikate der übergeordneten Zertifizierungsstellen der TUB-CA bereits vorinstalliert, so dass unserere neuen Zertifikate ohne Rückfrage akzeptiert werden. Für die Benutzung mit älteren bzw. anderen Browsern können Sie die übergeordneten Zertifikate über unseren öffentlichen PKI Server [1] durch Auswahl der Registerkarte "CA-Zertifikate" importieren.
Sie können stattdessen auch die untenstehenden Direktlinks verwenden:
Zertifikatskette der alten CA
- Wurzelzertifikat [2]
- DFN-PCA Zertifikat [3]
- TUB-CA Zertifikat [4]
- Zertifikatkette [5]
Zertifikatskette der neuen CA
- Wurzelzertifikat [6]
- DFN-PCA-Zertifikat [7]
- DFN-CA Global G2 Zertifikat [8]
- Zertifikatkette [9]
Da das Wurzelzertifikat der DFN-PKI im Jahr 2019 abläuft und nicht verlängert werden kann, wurde die DFN-PKI Anfang 2017 auf ein neues Wurzelzertifikat umgestellt. Deswegen existieren bis zum Juli 2019 zwei gültige Zertifikatsketten. Je nach Zertifikat und Anwendung kann es erforderlich sein eine oder beide Zertfikatsketten zu installieren.
Zertifikate suchen
Zur Überprüfung oder um verschlüsselt zu kommunizieren, benötigen Sie das Zertifikat des Kommunikationspartners. Das öffentliche PKI-Portal der TUB-CA bietet die Möglichkeit veröffentlichte Zertifikate der PKI-Teilnehmer anhand der Eingabe des Namens oder der E-Mail-Adresse des Kommunikationspartners zu suchen. Zertifikat jetzt suchen [10]
Dieser Dienst ist vorerst nur für von der TUB-CA ausgestellte TLS/SSL Server-Zertifikate verfügbar.
Sperrlisten (CRLs) und Rückruf von Zertifikaten der TUB-CA
Müssen Sie Ihr
Zertifikat zurückrufen weil es z.B. kompromittiert wurde oder
aufgrund des Verlustes des privaten Schlüssels ein neues beantragt
werden soll, kann dies über das öffentliche PKI-Portal der TUB-CA
erfolgen. Sie benötigen für den Rückruf die Rückruf-PIN.
Das öffentliche PKI-Portal bietet auch die Einsicht der Sperrlisten.
- Rückruf [11]
- Sperrlisten [12]
Anleitung für Server-Zertifikate
Schritt 1: Einleitung
Mit einem Serverzertifikat wird Ihr Server durch eine vertrauenswürdige Instanz beglaubigt. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen. Das Trustcenter der Technischen Universität Berlin bietet Administratoren von Einrichtungen der Technischen Universität Berlin die TLS-Zertifizierung von Servern an.
Schritt 2: Vorbereitung
TLS-Zertifikate werden von der TUB-CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) von DFN und TUB ausgestellt. Sie finden beide Policies auf dem: öffentlichen PKI-Server [13] der TUB unter dem Menüpunkt "Policies": Bitte lesen Sie die Policies sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.
Schritt 3: Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)
Für Ihren Server müssen Sie selbst ein Schlüsselpaar generieren. Die Schlüssellänge muss mindestens 2048 bit (RSA) betragen. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die TUB-CA übermittelt.
Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:
- Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten
- Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
- Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten.
- Für Server im Bereich der TUB-CA lautet der Name:
c=DE,st=Berlin,l=Berlin,o=Technische Universitaet
Berlin,
ou=<Institut/Einrichtung>,
cn=<voller
Rechnername>,
email=<E-Mail-Adresse des Server-Admin>
Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.
Anleitung für die Request-Generierung mit OpenSSL (vom RRZN der Uni-Hannover) [14]
Schritt 4: Beantragen des Zertifikates bei der TUB-CA
Der öffentliche PKI-Server der TUB-CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Stellen Sie hier Ihren Antrag auf Zertifizierung und übermitteln Sie die unter 3. erzeugte Request-Datei.
öffentlicher PKI-Server [15]
Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie sie persönlich bei der Registrierungsstelle (RA) der TUB-CA vor. Bringen Sie zur persönlichen Identifizierung auch ein Ausweisdokument und ein Akkreditierungsschreiben Ihres Institutes mit, welches Sie als Server Administrator ausweist.
Terminabsprache telefonisch: 314-24229
E-Mail: ra@tu-berlin.de [16]
Adresse:
tubIT, Technische Universität Berlin
Einsteinufer 17
10587 Berlin
Schritt 5: Einpflegen von Zertifikat und privatem Schlüssel in den Server
Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die TUB-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist. Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.
Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates Anleitung für OpenSSL (vom RRZN der Uni-Hannover) [17]
Zertifizierungsrichtlinien und Erklärungen zum Zertifizierungsbetrieb
Eine
Zertifizierungsrichtlinie (Certification Policy, CP) definiert die
Regeln, nach denen eine oder mehrere Zertifizierungsstellen arbeiten.
Die in der Technischen Universität Berlin angesiedelte
Zertifizierungsstelle (TUB-CA,G03) formuliert ihre
Zertifizierungsrichtlinie in der Weise, dass die
„Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen
Forschungsnetz – Global, Classic, Basic“ Anwendung findet.
Eine Erklärung zum Zertifizierungsbetrieb (Certification
Practice Statement, CPS) beschreibt die Verfahrensweisen, mit
denen eine Zertifizierungsrichtlinie von einer Zertifizierungsstelle
umgesetzt wird. Die in der Technischen Universität Berlin
angesiedelte Zertifizierungsstelle (TUH-CA,G03) formuliert ihre
Erklärungen zum Zertifizierungsbetrieb in der Weise, dass die
„Erklärung zum Zertifizierungsbetrieb der Public Key Infrastruktur
im Deutschen Forschungsnetz – Global, Classic, Basic “ Anwendung
findet.
Der Inhalt beider Dokumente wird an einigen Stellen durch die „Erklärung zum Zertifizierungsbetrieb der TUB-CA in der DFN-PKI“ um eigene Spezifikationen erweitert.
Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic - [18]
Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic [19]
Erklärung zum Zertifizierungsbetrieb der TUB-CA in der DFN-PKI
-
Sicherheitsniveau: Global [20]
Beantragung eines Nutzer / Serverzertifikats der Grid-CA der DFN-PKI
Das Trustcenter nimmt auch die Funktion einer Registrierungsstelle (RA) der Grid-CA in der DFN-PKI wahr. Grid Zertifikate der DFN-PKI können beantragt werden für:
- TUB-Mitarbeiter mit provisionierten TUB-Account
- Server im Netz der TUB
Bitte
lesen Sie vor der Beantragung unbedingt die Policies der DFN Grid-CA
auf deren Webseite [21].
Beantragung von
Benutzerzertifikaten: Begeben Sie sich auf die Webseite der
Grid-RA [22].
Die vom DFN-Verein zur Verfügung gestellte Web
Schnittstelle unterstützt Sie beim Erzeugen eines Schlüsselpaares
und dem Erstellen der Teilnehmererklärung. Diese müssen Sie ggfs.
ergänzen und unterschrieben zusammen mit Ihrem
Dienstausweis/Personalausweis/Reisepass der Registrierungsstelle im
Trustcenter (E-N 030, Tel. 24229) vorlegen.
Ist alles korrekt,
wird die Grid-RA die Zertifizierung Ihres öffentlichen Schlüssels in
die Wege leiten. Das ausgestellte Zertifikat bekommen Sie per Email
zugeschickt.
Zur Installation des Zertifikats in den zur
Erstellung des Schlüsselpaares verwendeten Browser befolgen Sie bitte
die in der Email enthaltenen Anweisungen.
Sollten Sie den
privaten Schlüssel außerhalb dieses Browsers benötigen, gehen Sie
wie folgt vor:
- exportieren Sie das Zertifikat mitsamt dem privaten Schlüssel in eine Datei im #PKCS12 Format, z.B. "certkey.p12" - das geschieht automatisch bei Benutzung der Export Funtionalität der gängigen Browser.
- extrahieren Sie
nun den Schlüssel mit einem geeigneten Tool,
z.B."openssl":
openssl pkcs12 -in cert.p12 -nocerts -out key.pem
Nun liegt der private Schlüssel in der Datei key.pem vor.
Beantragung
von Serverzertifikaten: Begeben Sie sich auf die Webseite der
Grid-RA [23].
Nun verfahren Sie weiter, wie in unserer Anleitung
für Server Zertifikate beschrieben.
Davon abweichend, wählen
Sie den vollständigen Servernamens (Distinguished Name, DN)
folgendermaßen:
- C=DE
- O=GridGermany
- OU=Technische Universitaet Berlin
- [OU=(Organisationseinheit)]
- CN=(voll qualifizierter Name des Servers)
- EMail=(Mail-Adresse des Administrators)
In eckige Klammern [..] gesetzte Angaben sind nicht,
alle anderen sind notwendig!
Die ausgefüllte und unterschriebene
Teilnahmeerklärung legen Sie wiederum zusammen mit Ihrem
Dienstausweis/Personalausweis/Reisepass der Registrierungsstelle im
Trustcenter (E-N 030, Tel. 24229) vor.
Ist alles korrekt wird
die Grid-RA die Zertifizierung Ihres öffentlichen Schlüssels in die
Wege leiten. Das ausgestellte Zertifikat bekommen Sie per Email
zugeschickt.
Zur Installation des Zertifikats befolgen Sie bitte
die in dieser Email enthaltenen Anweisungen.
cert.crt
rmediatecacert.crt
rt.crt
n.txt
rootcert.crt
intermediatecacert.crt
cacert.crt
chain.txt
i?cmd=getStaticPage;name=search_cert;id=1;menu_item=3&a
mp;RA_ID=0
i?cmd=revoke_req;id=1;menu_item=2&RA_ID=0
i?cmd=getStaticPage;name=index;id=3&RA_ID=0
ml
anfrage/id/127406/?no_cache=1&ask_mail=YH624wAOfAQC
igGiFJUcCJ5vd9IEZumh&ask_name=RA
tml
bal-classic-basic/x509/
obal-classic-basic/x509/
i?cmd=getStaticPage&name=index&RA_ID=191
i?cmd=getStaticPage&name=index&RA_ID=191
i?cmd=getStaticPage&name=index&RA_ID=191