Zertifikate für die FH Potsdam

Registrierungsstelle (Registration Authority, RA) der FH Potsdam CA

Das CA Team der FH Potsdam übernimmt die Aufgaben einer Registrierungsstelle (RA) für die FH Potsdam CA. Dies beinhaltet insbesondere die Authentifizierung der Teilnehmer.

Zertifikate

In den aktuellen Versionen der gebräuchlichen Betriebsysteme und Browser sind die Zertifikate, der der FH Potsdam CA übergeordneten Zertifizierungsstelle, bereits vorinstalliert, so dass unsere neuen Zertifikate ohne Rückfrage akzeptiert werden. Für die Benutzung mit älteren bzw. anderen Browsern können Sie die übergeordneten Zertifikate über unseren öffentlichen PKI Server durch Auswahl der Registerkarte "CA-Zertifikate" importieren.

Zertifikate suchen

Zur Überprüfung oder um verschlüsselt zu kommunizieren, benötigen Sie das Zertifikat des Kommunikationspartners. Das öffentliche PKI-Portal der FH Potsdam CA bietet die Möglichkeit veröffentlichte Zertifikate der PKI-Teilnehmer anhand der Eingabe des exakten Namens oder der E-Mail-Adresse des Kommunikationspartners zu suchen. 

Zertifikat jetzt suchen

Sperrlisten (CRLs) und Rückruf von Zertifikaten der FH Potsdam CA

Müssen Sie Ihr Zertifikat zurückrufen weil es z.B. kompromittiert wurde oder aufgrund des Verlustes des privaten Schlüssels ein neues beantragt werden soll, kann dies über das öffentliche PKI-Portal der  FH Potsdam CA erfolgen. Sie benötigen für den Rückruf die Rückruf-PIN.  Das öffentliche PKI-Portal bietet auch die Einsicht der Sperrlisten.

Rückruf
Sperrlisten

Anleitung Nutzerzertifikat / digitale Signatur

Hochschulmitglieder können Sich Nutzerzertifikate erstellen lassen, welche für das Signieren und Verschlüsseln von Mails und als Digitale Unterschrift verwendet werden können. Die Digitale Unterschrift kann an der FH Potsdam z.B. bei vielen Personalanträgen genutzt werden.

Die Anleitung steht als PDF zur Verfügung.

Anleitung für Server-Zertifikate


Schritt 1: Einleitung

Mit einem Serverzertifikat wird Ihr Server durch eine vertrauenswürdige Instanz beglaubigt. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen. Das CA Team der Fachhochschule Potsdam bietet Administratoren der Fachhochschule Potsdam die TLS-Zertifizierung von Servern an.

Schritt 2: Vorbereitung

TLS-Zertifikate werden von der FH Potsdam CA ausschließlich auf der Grundlage der Zertifizierungsrichtlinien (Policy) vom DFN ausgestellt. Sie finden diese Policy auf dem: öffentlichen PKI-Server der FH Potsdam unter dem Menüpunkt "Policies": Bitte lesen Sie die Policies sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.

Schritt 3: Erzeugen eines Schlüsselpaares und Erstellen eines Zertifizierungsantrages (Certificate Signing Request, CSR)

Für Ihren Server müssen Sie selbst ein Schlüsselpaar generieren. Die Schlüssellänge muss mindestens 2048 bit (RSA) betragen. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die FH Potsdam CA übermittelt.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

  • Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten
  • Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.
  • Das optionale Attribut "email=" sollte eine gültige, vorzugsweise funktionsbezogene Emailadresse, beispielsweise die des Server-Administrators, enthalten.

Für Server im Bereich der FH Potsdam CA lautet der Name: 

c=DE,st=Brandenburg,l=Potsdam,o=Fachhochschule Potsdam,
ou=<Abteilung/Fachbereich>,
cn=<voller Rechnername>

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

Anleitung für die Request-Generierung mit OpenSSL (vom RRZN der Uni-Hannover)

Schritt 4: Beantragen des Zertifikates bei der FH Potsdam CA

Der öffentliche PKI-Server der FH Potsdam CA stellt alle wichtigen Funktionen, die im Zusammenhang mit der Zertifizierung stehen, zur Verfügung. Stellen Sie hier Ihren Antrag auf Zertifizierung und  übermitteln Sie die unter 3. erzeugte Request-Datei.

öffentlicher PKI-Server

Im zweiten Schritt unterschreiben Sie die während des Beantragungsverfahrens ausgedruckte Teilnehmererklärung und legen Sie sie persönlich bei der Registrierungsstelle (RA) der FH Potsdam CA vor. Bringen Sie zur persönlichen Identifizierung auch ein gültiges Ausweisdokument mit.

Terminabsprache:
telefonisch: 580-1048
E-Mail: ca@fh-potsdam.de

Schritt 5: Einpflegen von Zertifikat und privatem Schlüssel in den Server

Nach Bearbeitung Ihres Zertifizierungsantrages verschickt die FH Potsdam CA eine Benachrichtigungs-E-Mail, der im Anhang Ihr Zertifikat beigelegt ist. Die Datei, die das Zertifikat enthält, muss nun in der Laufzeit-Umgebung Ihres Servers installiert werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Administrative Tools, Internet Service Manager) für das Einpflegen des Zertifikates Anleitung für OpenSSL (vom RRZN der Uni-Hannover)

Alternativ bietet die Uni Freiburg eine Anleitung zur Requesterstellung mit dem Java Keytool Anleitung für Java Keytool (Uni Freiburg)

Zertifizierungsrichtlinien und Erklärungen zum Zertifizierungsbetrieb

Eine Zertifizierungsrichtlinie (Certification Policy, CP) definiert die Regeln, nach denen eine oder mehrere Zertifizierungsstellen arbeiten. Die in der Fachhochschule Potsdam angesiedelte  Zertifizierungsstelle (FH Potsdam CA - G01) formuliert ihre Zertifizierungsrichtlinie in der Weise, dass die „Zertifizierungsrichtlinie der DFN-PKI“ Anwendung findet. 

Eine Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) beschreibt die Verfahrensweisen, mit denen eine Zertifizierungsrichtlinie von einer Zertifizierungsstelle umgesetzt wird. Die in der Fachhochschule Potsdam angesiedelte Zertifizierungsstelle (FH Potsdam CA - G01) formuliert ihre Erklärungen zum Zertifizierungsbetrieb in der Weise, dass die „Erklärung zum Zertifizierungsbetrieb der DFN-PKI“ Anwendung findet.

Zertifizierungsrichtlinie und Erklärung der DFN-PKI

Kontakt

Stephan Schier

Netzwerkadministrator im zentralen IT-Dienstleistungszentrum der Fachhochschule Potsdam

Telefon:

+49 331 580-1049

Haus / Raum:

H4 / 2.29