Zertifikate

Zertifikate

 

UdK-CA und UdK-RA
Als CA (Certifikation Authority) für die UdK Berlin ist der DFN-Verein tätig (UdK-CA).
RA (Registration Authority) in der UdK Berlin ist das Referat für Planung, Organisation und Datenverarbeitung (Referat DVOrg), Herr Peukert, App. 2467, Mail: ra@udk-berlin.de (UdK-RA).
Alle Fragen im Zusammenhang mit der Zertifikatserstellung richten Sie bitte ausschließlich an die RA.

Policy
Für die Zertifikate der UdK Berlin gelten die Policy der DFN-PKI und die Anwender-Policy der UdK Berlin.
Bitte lesen Sie die Policies sorgfältig durch. Die dort beschriebenen Zertifizierungsrichtlinien und die Anforderungen an die Zertifikatnehmer beinhalten Aussagen über die Qualität der ausgestellten Zertifikate.


Nutzerzertifikate

Allgemeine Infos
Die Zertifizierungsinstanz der UdK Berlin stellt Nutzerzertifikate aus, die ggf. als digitale Signatur genutzt werden können.

Zertifikatantrag ausfüllen
Füllen Sie bitte den Zertifikatantrag für Nutzerzertifikate aus und folgenden den Handlungshinweisen. Bitte beachten Sie, dass der Zertifikatantrag nur von hauptberuflich tätigen Mitarbeitern und Mitarbeiterinnen gestellt werden kann.

Schriftlicher Antrag und Identifizierung
Um den Request zu bearbeiten, geben Sie bitte den ausgedruckten und ergänzten Zertifikatantrag in der RA der UdK Berlin (Registration-Authority) ab und lassen sich durch ein Ausweisdokument (Personalausweis, Reisepass) identifizieren.

Ausstellung des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angebene E-Mailadresse. Darin enthalten ist ein Link zum Download des Zertifikates, sowie das Zertifikat selbst.

Installation des Zertifikates
Die Installation Ihres Nutzerzertifikates ist System- und Anwendungsabhängig. Es können an dieser Stelle daher keine Angaben gemacht werden.

 


Serverzertifikate

Allgemeine Infos
Die Zertifizierungsinstanz der UdK Berlin stellt SSL-Zertifikate für Server der Fakultäten und anderen Einrichtungen der Hochschule aus.
Mit einem Serverzertifikat wird Ihr Server durch eine vertrauenswürdige Instanz beglaubigt. Dadurch wird es Ihren Benutzern ermöglicht, die Authentizität des Servers eindeutig nachzuvollziehen.
Bitte beachten Sie jedoch, dass noch nicht jeder Browser das verwendete Root-Zertifikat der Dt. Telekom implementiert hat, so dass es trotz installiertem Serverzertifikat zu Sicherheitsabfragen kommen kann.

Schlüssel und Request erzeugen (mit OpenSSL)
Für Ihren Server müssen Sie selber ein Schlüsselpaar (Private Key) generieren. Die Schlüssellänge muss mindestens 2048 bit (RSA) betragen und der damit erzeugte Request mindestens mit der SHA-2 Verschlüsselung erstellt worden sein (-sha256). Der Public Key des Schlüsselpaares wird anschließend innerhalb eines so genannten Certification Request (Zertifizierungsanfrage oder -anforderung) zur Zertifizierung an die UdK-CA übermittelt.
Verwenden Sie nach Möglichkeit die neueste Version von OpenSSL.

Folgende Regeln für die Wahl des vollständigen Servernamens (Distinguished Name, DN) sind zu beachten:

- Zertifikate für WWW-Server müssen im Attribut "cn=" einen eindeutigen Hostnamen enthalten
- Dieses Attribut darf keine Platzhalter ("Wildcards") und keine numerischen IP-Adressen enthalten.

Für Server im Bereich der UdK-CA lautet der Name:
          c=DE,
          o=Universitaet der Kuenste Berlin,
          ou=<Institut/Einrichtung>,
          cn=<voller Rechnername>,

Insbesondere müssen also das "st" und das "l" Attribut zusammen oder garnicht verwendet werden.

Für Windows-Server empfehlen wir die Benutzung des Assistenten (Internet Service Manager) für die Generierung des Zertifizierungsantrags.

Für Linux-Server gibt es eine Anleitung für die Request-Generierung mit OpenSSL vom RRZN der Uni-Hannover.

Zertifikatantrag ausfüllen
Füllen Sie bitte den Zertifikatantrag für Serverzertifikate aus und folgenden den Handlungshinweisen. Bitte beachten Sie, dass der Zertifikatantrag nur von hauptberuflich tätigen Mitarbeitern und Mitarbeiterinnen gestellt werden kann.

Teilnahmeerklärung
Zusätzlich zu dem Zertifikatantrag müssen die beantragenden Einrichtungen der UdK eine Teilnahmeerklärung ausfüllen und unterschreiben.

Schriftlicher Antrag und Identifizierung
Um den Request zu bearbeiten, geben Sie bitte den ausgedruckten und ergänzten Zertifikatantrag und die ausgefüllte und unterschriebene Teilnahmeerklärung in der RA der UdK Berlin (Registration-Authority) ab und lassen sich durch ein Ausweisdokument (Personalausweis, Reisepass) identifizieren.

Ausstellung des Zertifikates
Nachdem Ihr Request durch die CA signiert wurde, erhalten Sie eine E-Mail an die von Ihnen im Formular angebene E-Mailadresse. Darin enthalten ist ein Link zum Download des Zertifikates, sowie das Zertifikat selbst.

Installation des Zertifikates
Informationen zur Installation des Zertifikates in Ihren Server entnehmen Sie bitte der zugehörigen Dokumentation, für open-ssl gibt es ebenfalls eine Anleitung des RRZN der Uni Hannover.