Zertifikate

Zertifikate

 

UdK-CA und UdK-RA

Informationen zu Server- / Dienste Zertifikaten:

Als CA (Certifikation Authority) für die UdK Berlin ist der GÉANT Trusted Certificate Services (TCS), welcher die Firma Sertigo mit der Erfüllung beauftragt hat tätig.
Sie Erreichen die Webseite zum Beantragen von Zertifikaten des GÉANT TCS unter:
https://cert-manager.com/customer/DFN/ssl/sslsaml

FAQ Webseite zum GÉANT TCS: https://doku.tid.dfn.de/de:dfnpki:tcsfaq

Informationen zu Nutzerzertifikaten:

Als CA (Certifikation Authority) für die UdK Berlin ist der DFN-Verein tätig (UdK-CA).

ergänzende Information:

RA (Registration Authority) in der UdK Berlin ist das Referat für Planung, Organisation und Datenverarbeitung (Referat DVOrg), Herr Peukert, App. 2467, Mail: pki[at]udk-berlin_de (UdK-RA).
Alle Fragen im Zusammenhang mit der Zertifikatserstellung richten Sie bitte ausschließlich an die RA.

Policy
Für die Zertifikate der UdK Berlin gelten die Policy der DFN-PKI und die Anwender-Policy der UdK Berlin.
Bitte lesen Sie die Policies sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.

Nutzerzertifikate

Allgemeine Infos
Die Zertifizierungsinstanz der UdK Berlin stellt Nutzerzertifikate aus, die ggf. als digitale Signatur genutzt werden können.

Zertifikatantrag ausfüllen
Füllen Sie bitte den Zertifikatantrag für Nutzerzertifikate aus (1.) und senden diesen ausgefüllt an die UdK CA.
Nach der Zusendung des Antrages an die UdK CA, stellen Sie den Antrag digital ebenfalls (2.) .
Bitte beachten Sie, dass der Zertifikatantrag nur von hauptberuflich tätigen Mitarbeitern und Mitarbeiterinnen gestellt werden kann.

  1. Nutzerzertifikatsantrag (schriftlicher Antrag zum Download als PDF Dokument)
  2. Antrag online (Digital bei unserem Service Provider, nur mit UdK Account nutzbar)

Schriftlicher Antrag und Identifizierung
Um den Request zu bearbeiten, geben Sie bitte den ausgedruckten und ergänzten Zertifikatantrag in der RA der UdK Berlin (Registration-Authority) ab und lassen sich durch ein Ausweisdokument (Personalausweis, Reisepass) identifizieren.

Ausstellung des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angegebene E-Mailadresse. Darin enthalten ist ein Link zum Download des Zertifikates, sowie das Zertifikat selbst.

Installation des Zertifikates
Die Installation Ihres Nutzerzertifikates ist System- und Anwendungsabhängig. Es können an dieser Stelle daher keine Angaben gemacht werden.

 

Serverzertifikate

Allgemeine Infos
Die Zertifizierungsinstanz der UdK Berlin stellt SSL-Zertifikate für Server der Fakultäten und anderen Einrichtungen der Hochschule aus.
Mit einem Serverzertifikat wird Ihr Server durch eine vertrauenswürdige Instanz beglaubigt. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen.
Bitte beachten Sie jedoch, dass noch nicht jeder Browser das verwendete Root-Zertifikat der Dt. Telekom implementiert hat, so dass es trotz installiertem Serverzertifikat zu Sicherheitsabfragen kommen kann.

Schlüssel und Request erzeugen (mit OpenSSL)
Für Ihren Server müssen Sie selber ein Schlüsselpaar (Private Key) generieren. Die Schlüssellänge muss mindestens 2048 Bit (RSA) betragen und der damit erzeugte Request mindestens mit der SHA-2 Verschlüsselung erstellt worden sein (-sha256). Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die UdK-CA übermittelt.
Verwenden Sie nach Möglichkeit die neueste Version von OpenSSL.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

- Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten
- Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.

Für Server im Bereich der UdK-CA lautet der Name:
          c=DE,
          o=Universitaet der Kuenste Berlin,
          ou=<Institut/Einrichtung>,
          cn=<voller Rechnername>,

Insbesondere müssen also das "st" und das "l" Attribut zusammen oder gar nicht verwendet werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

Teilnahmeerklärung

Zusätzlich zu dem Zertifikatantrag müssen die beantragenden Einrichtungen der UdK eine Teilnahmeerklärung ausfüllen und unterschreiben.

Schriftlicher Antrag und Identifizierung
Um den Request zu bearbeiten, geben Sie bitte den ausgedruckten und ergänzten Zertifikatantrag und die ausgefüllte und unterschriebene Teilnahmeerklärung in der RA der UdK Berlin (Registration-Authority) ab und lassen sich durch ein Ausweisdokument (Personalausweis, Reisepass) identifizieren.

Ausstellung des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angegebene E-Mailadresse. Darin enthalten ist ein Link zum Download des Zertifikates.