Informationen und Anleitungen zu Zertifikaten

Das Trustcenter der TU-Berlin übernimmt die Aufgaben einer ausgezeichneten Registrierungsstelle (RA) für die TUB-CA und die TUB-Email-CA. Dies beinhaltet insbesondere die Authentifizierung der Teilnehmer. (Zur Zeit sind keine weiteren RAs für die TUB-CA geplant)

Zertifikate für sichere Email werden seit Einführung der TU Campuskarte nicht mehr separat angeboten, da hierfür die auf der Karte installierten Schlüssel und Zertifikate zum Einsatz kommen.

Ab Version 7 des MS IIE und Version 3 des Mozilla-Firefox Browsers sind die Zertifikate der übergeordneten Zertifizierungsstellen der TUB-CA bereits vorinstalliert, so dass unserere neuen Zertifikate ohne Rückfrage akzeptiert werden. Für die Benutzung mit älteren bzw. anderen Browsern können Sie die übergeordneten Zertifikate über unseren öffentlichen PKI Server [1] durch Auswahl der Registerkarte "CA-Zertifikate" importieren.

Sie können stattdessen auch die untenstehenden Direktlinks verwenden:

Zertifikatskette der alten CA

• Wurzelzertifikat [2]
• DFN-PCA Zertifikat [3]
• TUB-CA Zertifikat [4]
• Zertifikatkette [5]

Zertifikatskette der neuen CA

• Wurzelzertifikat [6]
• DFN-PCA-Zertifikat [7]
• DFN-CA Global G2 Zertifikat [8]
• Zertifikatkette [9]

Da das Wurzelzertifikat der DFN-PKI im Jahr 2019 abläuft und nicht verlängert werden kann, wurde die DFN-PKI Anfang 2017 auf ein neues Wurzelzertifikat umgestellt. Deswegen existieren bis zum Juli 2019 zwei gültige Zertifikatsketten. Je nach Zertifikat und Anwendung kann es erforderlich sein eine oder beide Zertfikatsketten zu installieren.

Zur Überprüfung oder um verschlüsselt zu kommunizieren, benötigen Sie das Zertifikat des Kommunikationspartners. Das öffentliche PKI-Portal der TUB-CA bietet die Möglichkeit veröffentlichte Zertifikate der PKI-Teilnehmer anhand der Eingabe des Namens oder der E-Mail-Adresse des Kommunikationspartners zu suchen. Zertifikat jetzt suchen [10]

Dieser Dienst ist vorerst nur für von der TUB-CA ausgestellte TLS/SSL Server-Zertifikate verfügbar.

Müssen Sie Ihr Zertifikat zurückrufen weil es z.B. kompromittiert wurde oder aufgrund des Verlustes des privaten Schlüssels ein neues beantragt werden soll, kann dies über das öffentliche PKI-Portal der TUB-CA erfolgen. Sie benötigen für den Rückruf die Rückruf-PIN.

Das öffentliche PKI-Portal bietet auch die Einsicht der Sperrlisten.

• Rückruf [11]
• Sperrlisten [12]

Schritt 1: Einleitung

Mit einem Serverzertifikat wird Ihr Server durch eine vertrauenswürdige Instanz beglaubigt. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen. Das Trustcenter der Technischen Universität Berlin bietet Administratoren von Einrichtungen der Technischen Universität Berlin die TLS-Zertifizierung von Servern an.

Schritt 2: Vorbereitung

TLS-Zertifikate werden von der TUB-CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) von DFN und TUB ausgestellt. Sie finden beide Policies auf dem: öffentlichen PKI-Server [13] der TUB unter dem Menüpunkt "Policies": Bitte lesen Sie die Policies sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.

Schritt 3: Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)

Für Ihren Server müssen Sie selbst ein Schlüsselpaar generieren. Die Schlüssellänge muss mindestens 2048 bit (RSA) betragen. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die TUB-CA übermittelt.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

• Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten
• Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
• Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten.
• Für Server im Bereich der TUB-CA lautet der Name:

c=DE,st=Berlin,l=Berlin,o=Technische Universitaet Berlin,
ou=<Institut/Einrichtung>,
cn=<voller Rechnername>,
email=<E-Mail-Adresse des Server-Admin>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

Anleitung für die Request-Generierung mit OpenSSL (vom RRZN der Uni-Hannover) [14]

Schritt 4: Beantragen des Zertifikates bei der TUB-CA

Der öffentliche PKI-Server der TUB-CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Stellen Sie hier Ihren Antrag auf Zertifizierung und  übermitteln Sie die unter 3. erzeugte Request-Datei.

öffentlicher PKI-Server [15]

Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie sie persönlich bei der Registrierungsstelle (RA) der TUB-CA vor. Bringen Sie zur persönlichen Identifizierung auch ein Ausweisdokument und ein Akkreditierungsschreiben Ihres Institutes mit, welches Sie als Server Administrator ausweist.

Terminabsprache telefonisch: 314-24229
E-Mail: ra@tu-berlin.de [16]
Adresse:
tubIT, Technische Universität Berlin
Einsteinufer 17
10587 Berlin

Schritt 5: Einpflegen von Zertifikat und privatem Schlüssel in den Server

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die TUB-CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist. Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates Anleitung für OpenSSL (vom RRZN der Uni-Hannover) [17]

Eine Zertifizierungsrichtlinie (Certification Policy, CP) definiert die Regeln, nach denen eine oder mehrere Zertifizierungsstellen arbeiten. Die in der Technischen Universität Berlin angesiedelte  Zertifizierungsstelle (TUB-CA,G03) formuliert ihre Zertifizierungsrichtlinie in der Weise, dass die „Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen Forschungsnetz – Global, Classic, Basic“ Anwendung findet.
Eine Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) beschreibt die Verfahrensweisen, mit denen eine Zertifizierungsrichtlinie von einer Zertifizierungsstelle umgesetzt wird. Die in der Technischen Universität Berlin angesiedelte Zertifizierungsstelle (TUH-CA,G03) formuliert ihre Erklärungen zum Zertifizierungsbetrieb in der Weise, dass die „Erklärung zum Zertifizierungsbetrieb der Public Key Infrastruktur im Deutschen Forschungsnetz – Global, Classic, Basic “ Anwendung findet.

Der Inhalt beider Dokumente wird an einigen Stellen durch die „Erklärung zum Zertifizierungsbetrieb der TUB-CA in der DFN-PKI“ um eigene Spezifikationen erweitert.

Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic - [18]

Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic [19]

Erklärung zum Zertifizierungsbetrieb der TUB-CA in der DFN-PKI -
Sicherheitsniveau: Global [20]

Das Trustcenter nimmt auch die Funktion einer Registrierungsstelle (RA) der Grid-CA in der DFN-PKI wahr. Grid Zertifikate der DFN-PKI können beantragt werden für:

• TUB-Mitarbeiter mit provisionierten TUB-Account
• Server im Netz der TUB

Bitte lesen Sie vor der Beantragung unbedingt die Policies der DFN Grid-CA auf deren Webseite [21].

Beantragung von Benutzerzertifikaten: Begeben Sie sich auf die Webseite der Grid-RA [22].
Die vom DFN-Verein zur Verfügung gestellte Web Schnittstelle unterstützt Sie beim Erzeugen eines Schlüsselpaares und dem Erstellen der Teilnehmererklärung. Diese müssen Sie ggfs. ergänzen und unterschrieben zusammen mit Ihrem Dienstausweis/Personalausweis/Reisepass der Registrierungsstelle im Trustcenter (E-N 030, Tel. 24229) vorlegen.
Ist alles korrekt, wird die Grid-RA die Zertifizierung Ihres öffentlichen Schlüssels in die Wege leiten. Das ausgestellte Zertifikat bekommen Sie per Email zugeschickt.
Zur Installation des Zertifikats in den zur Erstellung des Schlüsselpaares verwendeten Browser befolgen Sie bitte die in der Email enthaltenen Anweisungen.
Sollten Sie den privaten Schlüssel außerhalb dieses Browsers benötigen, gehen Sie wie folgt vor:

• exportieren Sie das Zertifikat mitsamt dem privaten Schlüssel in eine Datei im #PKCS12 Format, z.B. "certkey.p12" - das geschieht automatisch bei Benutzung der Export Funtionalität der gängigen Browser.
• extrahieren Sie nun den Schlüssel mit einem geeigneten Tool, z.B."openssl":
  openssl pkcs12 -in cert.p12 -nocerts -out key.pem
  Nun liegt der private Schlüssel in der Datei key.pem vor.

Beantragung von Serverzertifikaten: Begeben Sie sich auf die Webseite der Grid-RA [23].
Nun verfahren Sie weiter, wie in unserer Anleitung für Server Zertifikate beschrieben.
Davon abweichend, wählen Sie den vollständigen Servernamens (Distinguished Name, DN) folgendermaßen:

• C=DE
• O=GridGermany
• OU=Technische Universitaet Berlin
• [OU=(Organisationseinheit)]
• CN=(voll qualifizierter Name des Servers)
• EMail=(Mail-Adresse des Administrators)

In eckige Klammern [..] gesetzte Angaben sind nicht, alle anderen sind notwendig!
Die ausgefüllte und unterschriebene Teilnahmeerklärung legen Sie wiederum zusammen mit Ihrem Dienstausweis/Personalausweis/Reisepass der Registrierungsstelle im Trustcenter (E-N 030, Tel. 24229) vor.
Ist alles korrekt wird die Grid-RA die Zertifizierung Ihres öffentlichen Schlüssels in die Wege leiten. Das ausgestellte Zertifikat bekommen Sie per Email zugeschickt.
Zur Installation des Zertifikats befolgen Sie bitte die in dieser Email enthaltenen Anweisungen.