Inhaltsverzeichnis
PKI
Public Key Infrastructure
Im folgenden finden Sie Anweisungen zum Anfordern von Zertifikaten mit gängigen Web-Browsern sowie Anweisungen für die Verwendung dieser Zertifikate. Die Anweisungen für die Zertifizierung beziehen sich auf e-mail (S / MIME) Zertifikate. Das Erfordernis der anderen Arten von Zertifikaten ist jedoch weitgehend ähnlich konzipiert. Wenn Sie Vorschläge für weitere Anweisungen oder weitere Fragen haben, schicken Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.
Beantragung persönliches E-Mail-Zertifikat
Beantragen Sie ihr persönliches E-Mail-Zertifikat mit einem Webbrowser.
Bitte beachten Sie die Browser-Empfehlungen bei den beiden Wegen zur Zertifikat-Beantragung
Seit dem 2. September 2019 ist der neue Beantragungsweg der primäre Weg, Nutzerzertifikate zu beantragen.
Der bisherige Weg, der in den GWDG Nachrichten 12|19 auf Seite 10 beschrieben wird, wird dann mit dem Microsoft Internet Explorer nur noch bis zum 28.02.2021 unterstützt werden.
Auswahl Registrierungs-Autorität (RA)
Neuer Weg
Zertifikat beantragen
Die persönliche Identifizierung in Zeiten der Corona-Pandemie kann ab jetzt mit der vom DFN freigegebenen Video-Identifizierung durchgeführt werden.
Für den Microsoft Internet Explorer siehe bisheriger Weg.
Nach dem wie in GN 04-05|20 ab Seite 26 im Absatz „Der neue Beantragungsweg“ der Weg zu den neuen Antragseiten beschrieben wurde, ändert sich dieser ab der dortigen Abb. 2 wie im folgenden Beschrieben.
Zu sehen sind nun zwei größere Schaltflächen. Für die Beantragung auf die Schaltfläche „Ein neues Nutzerzertifikat beantragen“ klicken.
Die benötigten Daten für das Nutzerzertifikat eingeben und auf die Schaltfläche „Weiter“ klicken.
Ein Zusammenfassung der Angaben wird angezeigt. Wenn alles in Ordnung ist auf die Schaltfläche „Antragsdatei speichern“ klicken.
Ein Passwort für die Antragsdatei ist einzugeben und mit einem Klick auf „Ok“ zu bestätigen.
Die Antragsdatei wird im eingestellten Download-Verzeichnis des genutzten Webbrowsers gespeichert.
Nun die Schaltfläche „Zertifikatantragsformular (PDF) herunterladen“ anklicken. Die PDF-Datei wird heruntergeladen. Diese mit einem PDF-Programm öffnen, ausdrucken und unterschreiben und damit zum zuständigen RA-Operator in Ihrem Institut gehen.
Für die Persönliche Identifizierung halten Sie bitte Ihren gültigen Personalausweis bereit.
Nach der erfolgten persönlichen Identifizierung und Prüfung des Zertifikantrags wird der zuständige RA-Operator Ihren Zertifikantrag genehmigen.
Sie erhalten nach der Ausstellung Ihres persönlichen E-Mail-Zertifikats eine E-Mail mit Anweisungen für die weiteren Schritte.
Zertifikat abholen
Nach dem Klick auf die URL in der Mail oder durch kopieren und einfügen in die Adresszeile des Browsers, mit dem das Zertifikat beantragt wurde, auf „Ein beantragtes Zertifikat abholen“ klicken.
Um die Antragsdatei anzugeben bzw. auszusuchen auf „Browse“ klicken und die zugehörige Antragsdatei zum abzuholenden Zertifikat auswählen. Die Browser speichern im Standard diese Datei im Ordner Downloads des Benutzers ab.
Die Informationen der Antragsdatei werden angezeigt. Wenn alles passt auf „Weiter“ klicken.
Wenn versucht wird, das Zertifikat abzuholen und die Bestätigungsmail ist noch nicht eingegangen wird folgende Fehlermeldung angezeigt.
Wenn die Abholung funktioniert hat, werden die Daten des aktuell abgeholten Zertifikats in einer Übersicht angezeigt. Mit einem Klick auf „Zertifikatsdatei speichern“ wird der Abschluss der Abholung eingeleitet.
Für die Absicherung der zu speichernden Zertifikatsdatei muss jetzt zwingend ein Zertifikatspasswort eingegeben werden. Mit einem Klick auf „OK“ wird der Vorgang abgeschlossen.
Zum Abschluss der Abholung wird noch eine Informationsseite mit wichtigen Informationen angezeigt, die beachtet werden sollten.
Bisheriger Weg
Der Microsoft Internet Explorer wird ab dem 01.03.2021 nicht mehr für die Zertifikatbeantragung unterstützt!
Alle anderen Browser unterstützen die Erzeugung privater Schlüssel nicht mehr1)!
Drei Schritte zum Antrag:
Am Ende der Beantragung laden Sie bitte die erzeugte PDF-Datei herunter.
Bitte unterscheiben Sie eigenhändig den ausgedruckten Zertifikat-Antrag.
Mit dem von Ihnen unterschriebenen Antrag gehen Sie bitte zum zuständigen RA-Operator in Ihrem Institut.
Für die persönliche Identifizierung halten Sie bitte Ihren gültigen Personalausweis bereit.
Nach der erfolgten persönlichen Identifizierung und Prüfung des Zertifikat-Antrag wird der zuständige RA-Operator Ihren Zertifikat-Antrag genehmigen.
Sie erhalten nach der Ausstellung Ihres persönlichen E-Mail-Zertifikats eine E-Mail mit Ihrem Zertifikat im Anhang.
Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten
Für weiterführende Schritte und eine detaillierte Anweisungen zur Installation und Nutzung des Zertifikats in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgenden Dokumenten.
- GWDG Nachrichten 12|19 - Teil 1: Beantragung und Sicherung von Zertifikaten
- GWDG Nachrichten 1-2|20 - Teil 2: Installation und Verteilung von Zertifikaten
- GWDG Nachrichten 3|20 - Teil 3: Outlook-E-Mail-Anwendungen
- GWDG Nachrichten 4-5|20 - Überarbeitung des neuen Beantragungsweges für Nutzerzertifikate in der DFN-PKI
- GWDG Nachrichten 7-8|20 - Teil 4: Apple E-Mail-Anwendungen
- GWDG Nachrichten 11|20 - Teil 5: Thunderbird, Notes und Mutt
Beantragung Server-Zertifikat
OpenSSL mit folgenden Parametern aufrufen
Unix/OS X
Einfaches Bash-Skript…
- createcsr.sh
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
- Script createscr.sh herunterladen.
- Rechte ändern
chmod 744 createcsr.sh
- Script wie folgt starten
./createcsr.sh
Windows
Einfaches PowerShell-Skript…
- createcsr.ps1
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
Einfaches Batch-Skript…
- createcsr.bat
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.
Beantragung Server-Zertifikat mittels OpenSSL.cnf
OpenSSL mit folgenden Parametern aufrufen
Unix/OS X
Einfaches Bash-Skript…
- createcsr.sh
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
- Script createscr.sh herunterladen.
- Rechte ändern
chmod 744 createcsr.sh
- Script wie folgt starten
./createcsr.sh
Windows
Einfaches PowerShell-Skript…
- createcsr.ps1
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
Einfaches Batch-Skript…
- createcsr.bat
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.
Beispieldateien für OpenSSL.cnf
MPG
Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.
- example.cnf
HOME = . RANDFILE = $ENV::HOME/.rnd #################################################################### [ req ] default_bits = 4096 default_keyfile = example.key distinguished_name = server_distinguished_name req_extensions = server_req_extensions string_mask = utf8only #################################################################### [ server_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = DE stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Niedersachsen localityName = Locality Name (eg, city) localityName_default = Goettingen organizationName = Organization Name (eg, company) organizationName_default = Max-Planck-Gesellschaft # Den Namen Ihrer der CA untergeordneten RA können Sie hier entnehmen # https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras # und ersetzen damit den Wert PKI organizationalUnitName = Organizational Unit Name (eg, your Max-Planck-Institute) organizationalUnitName_default = PKI commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = example.mpg.de emailAddress = Email Address emailAddress_default = noreply@mpg.de #################################################################### [ server_req_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "OpenSSL Generated Certificate" #################################################################### [ alternate_names ] DNS.1 = example-san-1.mpg.de DNS.2 = example-san-2.mpg.de
Uni Göttingen
Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.
- example.cnf
HOME = . RANDFILE = $ENV::HOME/.rnd #################################################################### [ req ] default_bits = 4096 default_keyfile = example.key distinguished_name = server_distinguished_name req_extensions = server_req_extensions string_mask = utf8only #################################################################### [ server_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = DE stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Niedersachsen localityName = Locality Name (eg, city) localityName_default = Goettingen organizationName = Organization Name (eg, company) organizationName_default = Georg-August-Universitaet Goettingen # Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA # können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:uniras und ersetzen damit den Wert PKI. #organizationalUnitName = Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA) #organizationalUnitName_default = PKI commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = example.uni-goettingen.de emailAddress = Email Address emailAddress_default = noreply@uni-goettingen.de #################################################################### [ server_req_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "OpenSSL Generated Certificate" #################################################################### [ alternate_names ] DNS.1 = example-san-1.uni-goettingen.de DNS.2 = example-san-2.uni-goettingen.de
GWDG
Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.
- example.cnf
HOME = . RANDFILE = $ENV::HOME/.rnd #################################################################### [ req ] default_bits = 4096 default_keyfile = example.key distinguished_name = server_distinguished_name req_extensions = server_req_extensions string_mask = utf8only #################################################################### [ server_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = DE stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = NIEDERSACHSEN localityName = Locality Name (eg, city) localityName_default = GOETTINGEN organizationName = Organization Name (eg, company) organizationName_default = Gesellschaft fuer wissenschaftliche Datenverarbeitung # Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA # können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras und ersetzen damit den Wert PKI. #organizationalUnitName = Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA) #organizationalUnitName_default = PKI commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = example.gwdg.de emailAddress = Email Address emailAddress_default = noreply@gwdg.de #################################################################### [ server_req_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "OpenSSL Generated Certificate" #################################################################### [ alternate_names ] DNS.1 = example-san-1.gwdg.de DNS.2 = example-san-2.gwdg.de
Wichtige OpenSSL-Befehle
Eine Sammlung wichtiger OpenSSL-Befehle für Server-Zertifikate
Entfernung des Kennworts vom privaten Schlüssel
openssl rsa -in example.key -out example.np.key
Erstellen einer PKCS#12-Datei aus privaten und öffentlichen Schlüssel
openssl pkcs12 -export -out example.pfx -inkey example.key -in example.pem
Detaillierte Beschreibung der Einsatzmöglichkeiten von X.509-Zertifikaten
- GWDG Nachrichten 09-10|20 - Teil 1: Serverzertifikate
- GWDG Nachrichten 12|20 - Teil 2: Ein Blick hinter die Kulissen eines Teilnehmerservices