Hier finden Sie die wichtigsten Links zur Beantragung von Zertifikaten:
Startseite der TU Clausthal CA der DFN-PKI | https://pki.pca.dfn.de/tu-clausthal-ca-g2/pub/ | |
Beantragung eines Nutzer-Zertifikats | Nutzerzertifikat beantragen | Infos zu Nutzer-Zertifikaten |
Beantragung eines Server-Zertifikats | Serverzertifikat beantragen | Infos zu Server-Zertifikaten |
Hier finden Sie alle wichtigen Kommandos und Webseiten-Adressen auf einen Blick (für Fortgeschrittene):
Download der Konfigurationsdatei der TU Clausthal CA | tu-clausthal-ca.conf |
Erzeugen von eines privaten Schlüssels sowie eines Certificate Signing Request für Ihr Server-Zertifikat | openssl req -config tu-clausthal-ca.conf -newkey rsa:4096 -sha256 -outform pem -out CSR.pem -keyout privater-Schluessel.pem |
Entschlüsseln des privates Schlüssels Ihres Server-Zertifikats | openssl rsa -in privater-Schluessel.pem -out privater-Schluessel-unverschluesselt.pem |
Hochladen der Datei des Certificate Signing Request | Serverzertifikat beantragen |
Zur Beantragung eines Server-Zertifikats generieren Sie auf Ihrem Linux- oder Unix-Server (oder ggf. auch einem anderen Rechner) mit der Open-Source-Software OpenSSL die folgenden Bestandteile des zukünftigen Server-Zertifikats:
Sie können sich dafür die Konfigurationsdatei tu-clausthal-ca.conf herunterladen und dann das folgende Kommando verwenden:
openssl req -config tu-clausthal-ca.conf -newkey rsa:4096 -sha256 -outform pem -out CSR.pem -keyout privater-Schluessel.pem
Die Datei tu-clausthal-ca.conf enthält die wichtigsten Konfigurationswerte, die Sie bei der Generierung des Certificate Signing Requests und des privaten Schlüssels des Server-Zertifikats sonst händisch eingeben müssten. Die vorausgefüllten Werte stehen in den eckigen Klammern (z.B. [Technische Universitaet Clausthal]), dort können Sie einfach durch Drücken der Enter-Taste zum nächsten Schritt weiter springen.
Geben Sie bei FQDN des Servers den Hostnamen Ihres Servers ein, für den Sie das Zertifikat beantragen wollen.
Bei pass phrase geben Sie ein Passwort ein, mit dem der private Schlüssel des Server-Zertifikats verschlüsselt werden soll. Ohne dieses Passwort können Sie den privaten Schlüssel nicht verwenden oder entschlüsseln!
Die vollständige Ausgabe des Kommando sieht so aus:
Generating a 4096 bit RSA private key ..........................++ .....................................................................................................................++ writing new private key to 'privater-Schluessel.pem' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Laendername (bitte nicht aendern) [DE]: Bundesland (bitte nicht aendern) [Niedersachsen]: Ortsname (bitte nicht aendern) [Clausthal]: Name der Organisation (bitte nicht aendern) [Technische Universitaet Clausthal]: Abteilung []: Unterabteilung []: Gruppe []: FQDN des Servers (bei Webservern die Adresse der Webseite, z.B. www.institut.tu-clausthal.de) []:www.test.tu-clausthal.de E-Mail-Adresse des Server-Betreibers (z.B. webmaster@tu-clausthal.de) []:
Mit dem folgenden Kommando können Sie den privaten Schlüssel Ihres Server-Zertifikats (Datei privater-Schluessel.pem) entschlüsseln:
openssl rsa -in privater-Schluessel.pem -out privater-Schluessel-unverschluesselt.pem
Das Kommando erfordert das Passwort (pass phrase), das Sie bei der Erzeugung des privaten Schlüssels Ihres Server-Zertifikats eingegeben haben. Nach der Eingabe des richtiges Passwortes wird der private Schlüssel entschlüsselt und unter dem Dateinamen privater-Schluessel-unverschluesselt.pem gespeichert.
Öffnen Sie im Web-Browser die Webseite der TU Clausthal CA.
Wählen Sie über Durchsuchen die Datei CSR.pem Ihres Certificate Signing Request aus, die Sie zuvor generiert haben. Wählen Sie unter Zertifikatsprofil aus für was für einen Server Sie das Zertifikat beantragen möchten.
Tragen Sie außerdem Ihren Namen, Ihre E-Mail-Adresse, Ihre Abteilung (bzw. Ihr Institut) sowie eine PIN in das Antragsformular ein. Die PIN kann später dazu verwendet werden um Ihr Zertifikat zu sperren.
Klicken Sie anschließend auf Weiter.
Überprüfen Sie die Angaben und klicken Sie dann auf Bestätigen.
Klicken Sie auf Zertifikatantrag anzeigen um sich den Zertifikatantrag herunterzuladen oder direkt in Ihrem Web-Browser anzeigen zulassen.
Unterschreiben Sie den Zertifikatantrag und geben Sie ihn beim Teilnehmerservice (= akkreditiere Personen) ab oder senden Sie ihn per Hauspost an das Rechenzentrum.