Die TU Berlin betreibt Im Rahmen der Public Key Infrastructure (PKI) des DFN eine Registrierungsstelle (Registration Authoritiy) zur Beantragung von Zertifikaten.

Zertifikate dienen der Absicherung digitaler Kommunikation.

Sichere Kommunikation beinhaltet die folgenden Aspekte:

• Vertraulichkeit: Infomationen sind verschlüsselt und können nur von Schlüsselinhabern gelesen werden
• Authenzität: Prüfbarkeit des Absenders
• Integrität: Daten sind unverändert

Zertifikate können Sie auf den Seiten des DFN [https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3770/ ] beantragen. Diese Seite wird für vom DFN viele Einrichtungen betrieben. Einige Menüpunkte werden an der TU Berlin nicht oder in anderer Weise angeboten:

• Nutzerzertifikat beantragen

Nutzen Sie für ein persönliche Zertifikat (mit dem Sie z.B. Emails digital signieren können) bitte nicht die DFN-Antragsseite, sondern im TU Portal den Menüpunkt “Softwarezertifikate herunterladen”. Sollte für Ihren Zertifikatsantrag eine persönliche Identifizierung notwendig sein, finden Sie dort alle notwendigen Informationen.

• Pseudonymzertifikat beantragen

Nur auf Anfrage

• Gruppenzertifikat beantragen

Nur auf Anfrage

 

• Serverzertifikat beantragen

Hier können Sie Anträge für Serverzertifikate erstellen. Achten Sie bitte darauf, daß Name und eMail-Adresse korrekt eingetragen sind. Als Zertifikatsprofil sollten Sie normalerweise “Webserver” auswählen. Am Ende der Beantragung wird auf Ihrem Rechner eine Antragsdatei gespeichert . Sie werden aufgefordert ein Kennwort einzugeben.

Die Datei und das Kennwort benötigen Sie später beim Herunterladen des Zertifikats.

Danach wird Ihnen noch ein pdf-Formular angezeigt. Dieses drucken Sie bitte aus und bringen es persönlich vorbei. Nach der Ausstellung des Zertifikats erhalte Sie eine eMail “TUB-CA Zertifikatinformation” mit dem Zertifikat als Anhang. Mit der Mail erhalten Sie auch einen Link zum Erstellen einer pkcs#12-Datei.

• CSR-Datei (PKCS#10) einreichen

Hier können Sie eine vorher erstellte PKCS#10-Datei mit einem selbst generierten CSR (Certificate Signing Request) hochladen.

Am Ende der Beantragung wird ein pdf-Formular angezeigt. Dieses drucken Sie bitte aus und bringen es persönlich vorbei. Terminabsprache per Mail [ra(at)tu-berlin.de].

Nach Ausstellung des Zertifikats erhalten Sie eine Mail mit dem Zertifikat im Anhang.

 

• Zertifikat abholen

Hier können Sie das Zertifikat herunterladen. Sie benötigen dafür die Antragsdatei welche vorher bei der Beantragung mit Kennwort auf Ihrem Rechner gespeichert wurde.

Zertifikate und Schlüssel erhalen Sie in einer PKCS12-Datei (Endung .p12). Diese Datei können Sie auf Windows-Systemen in den Zertifikatsspeicher importieren.

Auf Linux-Systemen werden Zertifikate und Keys normalerweise in getrennten Dateien benötigt. Mit “openssl pkcs12” können Sie Zertifikate und Schlüssel aus pkcs#12-Dateien extrahieren (siehe unten). Haben Sie eine PKCS#10-Datei(CSR) hochgeladen, erhalten Sie das Zertifikat als PEM-Datei im Anhang einer Benachrichtigungsemail .

• Zertifikat sperren

Hier können Sie Zertifikate sperren. Sie benötigen dafüe die Seriennummer des Zertifikates und das Kennwort welches bei Beantragung vergeben wurde.

Wir können die Sperrung notfalls auch für Sie übernehmen.

 

Folgende Regeln für die Wahl von Servernamen (Distinguished Name, DN) sind zu beachten:

 

Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten

Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.

Für Server im Bereich der TUB-CA lautet der Name:

c=DE,st=Berlin,l=Berlin,o=Technische Universitaet Berlin,

cn=<voller Rechnername>

Hinweise:

Das Attribut “ou=” ist nicht mehr erlaubt.

Email sollte nicht mehr verwendet werden

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

 

Auf allen anderen Systemen empfehlen wir die Nutzung des Tools OpenSSL (siehe unten).

 

Terminabsprache telefonisch: 314-24229

E-Mail: ra@tu-berlin.de

Adresse:

tubIT, Technische Universität Berlin

Einsteinufer 17

10587 Berlin

Sinnvoll ist es eine Konfigurationesdatei für OpenSSL zu erstellen:

# begin openssl.conf

[ req ]

default_bits = 2048

req_extensions = v3_req

default_keyfile = keyfile.pem

distinguished_name = req_distinguished_name

prompt = no

[ req_distinguished_name ]

C = DE

ST = Berlin

L = Berlin

O = Technische Universitaet Berlin

CN = SERVERNAME.tu-berlin.de

 

[ v3_req ]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName = @alt_names

 

subjectAltName = @alt_names

 

[ alt_names ]

DNS.1 = SERVERNAME.tu-berlin.de

#DNS.2 = SERVERNAME1.tu-berlin.de

#DNS.3 = SERVERNAME2.tu-berlin.de

# end openssl.conf

Ersetzen in obriger Konfigurationsdatei Sie bitte “SERVERNAME” im CN (unter [ req_distinguished_name ])

und im DNS.1 (unter [ v3_req ]) durch Ihren Servernamen.

 

Die Antragsdatei erstellen Sie dann mittels

  openssl req -newkey rsa -nodes -keyout Key.pem -config openssl.conf -out Req.pem

 

Danach sollten Sie die Antragsdatei noch einmal mit openSSL prüfen:

  openssl req -noout -text -in Req.pem

 

Den CSR können Sie dann auf der Seite des DFN https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/3770/  unter dem Menuepunkt "CSR-Datei(pkcs#10) einreichen" hochladen.

 

Extrahieren von Schlüsseln und Zertifikaten aus pkcs#12-Dateien

Zertifikat:

  openssl pkcs12 -in DateiName.p12 -nokeys -clcerts -out DateiName_Cert.pem

private Key (mit Kennwort verschlüsselt):

  openssl pkcs12 -in DateiName.p12 -nocerts -out DateiName_Key.pem

private Key (unverschlüsselt):

  openssl rsa -in DateiName_Key.pem -out DateiName_Key_unencrypted.pem

Zertifikatskette:

 openssl pkcs12 -in  DateiName.p12  -cacerts -nokeys -out chain.txt

Eine Zertifizierungsrichtlinie (Certification Policy, CP) definiert die Regeln, nach denen eine oder mehrere Zertifizierungsstellen arbeiten. Die in der Technischen Universität Berlin angesiedelte  Zertifizierungsstelle (TUB-CA,G03) formuliert ihre Zertifizierungsrichtlinie in der Weise, dass die „Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen Forschungsnetz – Global, Classic, Basic“ Anwendung findet.
Eine Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) beschreibt die Verfahrensweisen, mit denen eine Zertifizierungsrichtlinie von einer Zertifizierungsstelle umgesetzt wird. Die in der Technischen Universität Berlin angesiedelte Zertifizierungsstelle (TUH-CA,G03) formuliert ihre Erklärungen zum Zertifizierungsbetrieb in der Weise, dass die „Erklärung zum Zertifizierungsbetrieb der Public Key Infrastruktur im Deutschen Forschungsnetz – Global, Classic, Basic “ Anwendung findet.

Der Inhalt beider Dokumente wird an einigen Stellen durch die „Erklärung zum Zertifizierungsbetrieb der TUB-CA in der DFN-PKI“ um eigene Spezifikationen erweitert.

Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic -

Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic