Inhaltsverzeichnis

PKI

Public Key Infrastructure

Im folgenden finden Sie Anweisungen zum Anfordern von Zertifikaten mit gängigen Web-Browsern sowie Anweisungen für die Verwendung dieser Zertifikate. Die Anweisungen für die Zertifizierung beziehen sich auf e-mail (S / MIME) Zertifikate. Das Erfordernis der anderen Arten von Zertifikaten ist jedoch weitgehend ähnlich konzipiert. Wenn Sie Vorschläge für weitere Anweisungen oder weitere Fragen haben, schicken Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.

Beantragung persönliches E-Mail-Zertifikat

Beantragen Sie ihr persönliches E-Mail-Zertifikat mit einem Webbrowser.

Bitte beachten Sie die Browser-Empfehlungen bei den beiden Wegen zur Zertifikat-Beantragung

Seit dem 2. September 2019 wird der neue Beantragungsweg der primäre Weg sein, Nutzerzertifikate zu beantragen. Der bisherige Weg wird dann nur noch dem Microsoft Internet Explorer vorbehalten sein.

Auswahl Registrierungs-Autorität (RA)

MPG-Mitarbeiter

Uni Göttingen-Mitarbeiter

GWDG-Mitarbeiter

Neuer Weg

Seit dem 2. September 2019 steht der neue Weg zur Beantragung von Nutzerzertifikaten für die gängigen Webbrowser Chrome/Chromium, Firefox, Opera und Safari zur Verfügung.

Mit dem unter dem URL https://www.microsoft.com/en-us/edge erhältlichen neuen Microsoft Edge ist es jetzt mögliche, Zertifikate, wie in der GWDG Nachrichtenausgaben 8-9|2019 „Neuer Beantragungsweg für Nutzerzertifikate in der DFN-PKI“, direkt einsehbar unter diesem URL https://www.gwdg.de/documents/20182/27257/GN_8-9-2019_www.pdf#page=4, und 12|2019 beschriebenen Artikel „E-Mail-Verschlüsselung mit X.509-Zertifikaten – Teil 1: Beantragung und Sicherung von Zertifikaten“ , direkt einsehbar unter dem URL https://www.gwdg.de/documents/20182/27257/GN_12-2019_www.pdf#page=9 , zu beantragen.

Mobile Webbrowser auf Android und iOS Geräten werden unterstützt.

Für den Microsoft Internet Explorer siehe bisheriger Weg.

Startseite des Browser Speichers wird angezeigt. Bitte auf den Link „Zertifikate“ klicken.

Es wird lokal ein privater Schlüssel erzeugt und in Ihrem Browser-Speicher als Website-Daten abgelegt.

Wichtig: Wenn Sie die Website-Daten löschen (auch „Chronik“ oder „Verlauf“), bevor die Ausstellung des Zertifikats abgeschlossen ist, gehen die Daten unwiederbringlich verloren und der Vorgang muss wiederholt werden. In einem anderen Browser stehen die Daten ebenfalls nicht zur Verfügung.

Wichtig: Beantragen Sie keine Zertifikate in einem InPrivate-Fenster im Private Browsing-Mode. Der erzeugte Browser-Speicher geht nach dem Schließen des InPrivate-Fenster verloren!!!

Wenn noch kein Browser Soeicher für diesen Web Browser angelegt worden ist, muss ein Kennwort zum Schutz des Browser Speichers eingegeben werden. Mit Klick auf die Schaltfläche „Weiter“ wird der vorhandene Broweser Speicher angezeigt.

Ist der Browserspeicher angelegt, wird nach Eingabe des vorher vergebenen Kennworts und einem Klick auf die Schaltfläche „Weiter“ der Browserspeicher angezeigt.

Im Browser Speicher können ausgestellte Zertifikate verwaltet werden oder neue beantragt werden.

Mit Klick aud den Link „Neues Zertifikat beantragen“ wird ein neues Nutzer-Zertifikat beantragt und mit Klick auf die Schaltfläche „Weiter“ eingereicht.

Mit dem Klick auf „Zertifikatantrag anzeigen“ die PDF-Datei in einem PDF-Programm öffnen, ausdrucken und eigenhändig unterschreiben.

Mit dem von Ihnen unterschriebenen Antrag gehen Sie bitte zum zuständigen RA-Operator in Ihrem Institut.

Für die persönliche Identifizierung halten Sie bitte Ihren gültigen Personalausweis bereit.

Nach der erfolgten persönlichen Identifizierung und Prüfung des Zertifikat-Antrag wird der zuständige RA-Operator Ihren Zertifikat-Antrag ausstellen.

Sie erhalten nach der Ausstellung Ihres persönlichen E-Mail-Zertifikats eine E-Mail mit Ihrem Zertifikat im Anhang.

Für weiterführende Schritte und eine detaillierte Anweisung zur Installation des Zertifikats in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgendem Dokument.

Bisheriger Weg

Seit dem 2. September 2019 steht der bisherige Weg aus kompatibiltätsgründen nur dem Microsoft Internet Explorer zur Verfügung.

Alle anderen Browser unterstützen die Erzeugung privater Schlüssel nicht mehr¹⁾!

Drei Schritte zum Antrag:

Am Ende der Beantragung laden Sie bitte die erzeugte PDF-Datei herunter.

Bitte unterscheiben Sie eigenhändig den ausgedruckten Zertifikat-Antrag.

Mit dem von Ihnen unterschriebenen Antrag gehen Sie bitte zum zuständigen RA-Operator in Ihrem Institut.

Für die persönliche Identifizierung halten Sie bitte Ihren gültigen Personalausweis bereit.

Nach der erfolgten persönlichen Identifizierung und Prüfung des Zertifikat-Antrag wird der zuständige RA-Operator Ihren Zertifikat-Antrag ausstellen.

Sie erhalten nach der Ausstellung Ihres persönlichen E-Mail-Zertifikats eine E-Mail mit Ihrem Zertifikat im Anhang.

Für weiterführende Schritte und eine detaillierte Anweisung zur Installation des Zertifikats in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgendem Dokument.

Beantragung Server-Zertifikat

OpenSSL mit folgenden Parametern aufrufen

Unix/OS X

Einfaches Bash-Skript…

createcsr.sh

openssl req -newkey rsa:2048 -sha256 -keyout priv-key.pem -out certreq.pem

Script createscr.sh herunterladen.
Rechte ändern
```
chmod 744 createcsr.sh
```
Script wie folgt starten
```
./createcsr.sh
```

Windows

Einfaches PowerShell-Skript…

createcsr.ps1

openssl req -newkey rsa:2048 -sha256 -keyout priv-key.pem -out certreq.pem

Einfaches Batch-Skript…

createcsr.bat

openssl req -newkey rsa:2048 -sha256 -keyout priv-key.pem -out certreq.pem

Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.

Beantragung Server-Zertifikat mittels OpenSSL.cnf

OpenSSL mit folgenden Parametern aufrufen

Unix/OS X

Einfaches Bash-Skript…

createcsr.sh

openssl req -config example.cnf -newkey rsa:2048 -sha256 -nodes -keyout example.key -out example-csr.pem

Script createscr.sh herunterladen.
Rechte ändern
```
chmod 744 createcsr.sh
```
Script wie folgt starten
```
./createcsr.sh
```

Windows

Einfaches PowerShell-Skript…

createcsr.ps1

openssl req -config example.cnf -newkey rsa:2048 -sha256 -nodes -keyout example.key -out example-csr.pem

Einfaches Batch-Skript…

createcsr.bat

openssl req -config example.cnf -newkey rsa:2048 -sha256 -nodes -keyout example.key -out example-csr.pem

Beispieldateien für OpenSSL.cnf

MPG

Bitte das Wort example durch den Servernamen und die Email-Adresse noreply@{mpg|uni-giettingen|gwdg}.de durch eine(n) gültige(n) ersetzen.

example.cnf

HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 2048
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
 
localityName            = Locality Name (eg, city)
localityName_default        = Goettingen
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Max-Planck-Gesellschaft
 
 
organizationalUnitName	= Organizational Unit Name (eg, your Max-Planck-Institute)
organizationalUnitName_default	= PKI
 
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.mpg.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@mpg.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.mpg.de
DNS.2       = example-san-2.mpg.de

Uni Göttingen

Bitte das Wort example durch den Servernamen und die Email-Adresse noreply@{mpg|uni-giettingen|gwdg}.de durch eine(n) gültige(n) ersetzen.

example.cnf

HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 2048
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
 
localityName            = Locality Name (eg, city)
localityName_default        = Goettingen
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Georg-August-Universitaet Goettingen
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.uni-goettingen.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@uni-goettingen.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.uni-goettingen.de
DNS.2       = example-san-2.uni-goettingen.de

GWDG

Bitte das Wort example durch den Servernamen und die Email-Adresse noreply@{mpg|uni-giettingen|gwdg}.de durch eine(n) gültige(n) ersetzen.

example.cnf

HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 2048
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = NIEDERSACHSEN
 
localityName            = Locality Name (eg, city)
localityName_default        = GOETTINGEN
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Gesellschaft fuer wissenschaftliche Datenverarbeitung
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.gwdg.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@gwdg.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.gwdg.de
DNS.2       = example-san-2.gwdg.de

Wichtige OpenSSL-Befehle

Eine Sammlung wichtiger OpenSSL-Befehle für Server-Zertifikate

Entfernung des Kennworts vom privaten Schlüssel

openssl rsa -in example.key -out example.np.key

Erstellen einer PKCS#12-Datei aus privaten und öffentlichen Schlüssel

openssl pkcs12 -export -out example.pfx -inkey example.key -in example.pem

¹⁾ Eine nicht unterstützte oder abgekündigte Funktion!