Die nachfolgende Anleitung soll Ihnen Schritt für Schritt zeigen, wie Sie ein Serverzertifikat erstellen können (Bspw. zur Nutzung von HTTPS). Die Zertifikate werden durch die DFN-PKI signiert.

Das Formular auf der Website des DFN verlangt einen PKCS#10-Zertifikatantrag als .pem Datei, wie Sie einen solchen erstellen können, ist abhängig von Ihrer Serversoftware, oft hilft allerdings eine kurze Google-Suche.

Egal mit welcher Software Sie den Antrag erstellen, er muss folgende Daten enthalten:

• O=Hochschule Schmalkalden
• L=Schmalkalden
• ST=Thueringen
• C=DE

Da OpenSSL in den meisten Linux Distributionen standardmäßig installiert ist, wird nachfolgend gezeigt, wie ein Antrag erzeugt werden kann und was Sie dabei beachten müssen.

openssl req -new -newkey rsa:4096 -keyout key.pem -out request.pem

• erzeugt RSA-Schlüsselpaar mit 4096 Bit (2048 Bit ist Mindestanzahl nach DFN)
• RSA-Schlüssel in Datei key.pem
• Zertifikatrequest für RSA-Schlüssel in Datei request.pem

Um den Private Key des RSA-Schlüsselpaars zu schützen, werden Sie nach einer „PEM pass phrase“ gefragt um diesen zu verschlüsseln.

Nun werden einige Informationen von Ihnen abgefragt:

• Country Name (C) = DE

• State Name (ST) = Thueringen

• Locality Name (L) = Schmalkalden

• Organization Name (O) = Hochschule Schmalkalden

• Organization Unit Name (OU) = Hier müssen Sie den Namen Ihrer Fakultät bzw. Abteilung eintragen.

• Common Name = Offizieller DNS Hostname des Servers (erlaubte Domainnamen sind: fh-schmalkalden.de/hs-schmalkalden.de)

• Email Address = Adresse des Administrators

Nun sollten sowohl das RSA-Schlüsselpaar, sowie der dazugehörige Request mit den angegebenen Namen erzeugt worden sein.

Link zur Antragsseite

- Zertifikatdaten:

• PKCS#10-Zertifikatantrag: Wählen Sie hier einfach die eben erzeugte Request-Datei (hier: request.pem)

• Zertifikatprofil: Hier können Sie auswählen für welche Anwendung Sie das Zertifikat beantragen, damit die entsprechende Extension in das Zertifikat eingetragen werden kann. Standard ist hierbei der Typ Web Server, andere Profile und deren Kriterien finden Sie HIER.

- Weitere Angaben:

• Name & E-Mail: Ihr vollständiger Name, sowie Ihre E-Mail-Adresse, damit die Zertifizierungsstelle Ihr Zertifikat einem Ansprechpartner zuordnen kann.

• Abteilung: Hier müssen Sie den Namen Ihrer Fakultät bzw. Abteilung eintragen.

• PIN: Falls Sie vermuten das Ihr privater Schlüssel ausspioniert wurde und jemand nun Ihr Zertifikat unberechtigt benutzt, können Sie mit der PIN Ihr Zertifikat sperren lassen.

• Einhaltung der Zertifizierungsrichtlinien: Sie müssen diesen zustimmen, da Ihr Antrag sonst nicht bearbeitet wird (Nähere Informationen).

Haben Sie alle mit Sternchen (*) versehenen Felder ausgefüllt, können Sie auf „Bestätigen“ drücken, woraufhin Ihre Eingaben nochmal in Kurzfassung dargestellt werden. Haben Sie Ihre Eingaben überprüft, können Sie durch erneutes „Bestätigen“ Ihren Zertifikatsantrag erzeugen.

Nach Drücken des „Bestätigen“-Buttons öffnet sich ein PDF-Dokument, welches Sie bitte ausdrucken. Dieser Antrag ist durch Ihre Eingaben im Online-Formular schon zum größten Teil ausgefüllt.

Vereinbaren Sie einen Termin mit der unten angegebenen Kontaktpersonen und bringen Sie Ihren ausgefüllten Antrag, sowie Ihren gültigen Personalausweis (oder Reisepass) mit. Sollten alle Informationen stimmen, erhalten Sie Ihr Zertifikat zeitnah per E-Mail zugeschickt und können dieses dann zur weiteren Verwendung mit dem private Key (hier: key.pem) in Ihr Serversystem einbetten.

Sven Franke