Serverzertifikate in der DFN Community PKI

Für Zertifikate in der DFN Community PKI steht ein DFN-Webportal bereit, bei der ein entsprechender Zertfikatsrequest (CSR = Certifcate Signing Request) hochgeladen werden kann. Ein CSR lässt sich mit OpenSSL oder dem Microsoft Internet Information Server erzeugen. Das DFN-Portal zur Zertifkatsbeantragung finden Sie

HIER

Beim Antragsprozess erhalten Sie eine Antragsquittung, die Sie uns bitte an

ca[at]uni-rostock.de

schicken. Sobald das Zertifikat von uns genehmigt wurde, erhalten Sie eine Nachricht vom DFN mit dem angehängten Zertifikat. Sollten Sie keinen CSR hochladen und stattdessen das Serverzertifikat direkt im Portal beantragen, müssen Sie nach der Genehmigung auf dieses Portal zurückkehren, um Ihr Zertfikat inkl. privatem Schlüssel abzuholen.

Denken Sie daran, dass Sie das Root-Zertifikat dieser PKI herunterladen und auf den beteiligten Systemen installieren müssen. Sie finden dieses Zertfikat unter

https://doku.tid.dfn.de/de:dfnpki:dfnpki_root_certs#dfn-verein_community_pki

Zertifikatsrequest mit OpenSSL erstellen

Zertifikatsrequest mit OpenSSL erstellen

Zunächst erstellen Sie eine Konfigurationsdatei 'request.cnf' mit folgendem Inhalt:

—————

HOME = .
RANDFILE = ./.rnd

[ req ]
default_bits = 4096
default_keyfile = IhrPrivateKey.pem
input_password = passwort
output_password = passwort
string_mask = nombstr
distinguished_name = req_distinguished_name
default_md = sha256
prompt = no

[ req_distinguished_name ]
C = DE
ST = Mecklenburg-Vorpommern
L = Rostock
0.O = Universitaet Rostock

# anpassen:
OU = IhreEinrichtung
CN = ihrserver.uni-rostock.de
emailAddress= ihre.email@uni-rostock.de

—————

Dabei sind die letzten drei Zeilen entsprechend Ihrer Situation anzupassen. Haben Sie dies getan, können Sie den Request im gleichen Verzeichnis mit folgendem Befehl erstellen:

openssl req -new -out IhrRequest.pem -keyout IhrPrivateKey.pem -config request.cnf

Die benötigte PEM-Datei sollten Sie nun im gleichen Verzeichnis unter 'IhrRequest.pem' finden. Unter Umständen müssen Sie zuvor die .rnd-Datei selbst erzeugen:

openssl rand -writerand .rnd

Kontakt

Zertifikatsservice
cauni-rostockde

Albert-Einstein-Str. 22
18059 Rostock

Martin Sievers-Luboschik
Tel: +49 381 498-5328

Martin Röhlig
Tel: +49 381 498-5327

Jörg Maletzky
Tel: +49 381 498-5339

Jörg Zerbe
Tel: +49 381 498-5320