Beantragung eines Serverzertifikats
Voraussetzungen
Bevor ein Serverzertifkat beantragt werden kann, müssen folgende Bedingungen erfüllt sein:
- Die DNS-Einträge der beantragten Domains sind bereits im DNS der Universität hinterlegt
- Der Antragsteller ist berechtigt für das betroffene Serversystem Zertifikate auszustellen
- Der Antragsteller ist Beschäftigter der Universität
- Ein CSR / Certificate Signing Request
Wichtig: Bei Multi-Domain Zertifikaten muss der Common Name (CN) ebenfalls in den Subject Alternative Names (SAN) aufgeführt sein!
Anleitung
1. Zertifikatsmanager aufrufen
Rufen Sie den Zertifikatsmanager für Serverzertifikate unter folgendem Link auf:
Geben Sie anschließend im Feld Find Your Institution "Wuppertal" ein und wählen danach Bergische Universität Wuppertal aus.
2. Anmeldung über Shibboleth
Melden Sie sich mit ihren ZIM-Zugangsdaten an.
- Accountname
- Passwort
- Anmelden
3. Datenübertragung bestätigen
Überprüfen Sie die angegebenen Daten und Bestätigen Sie die Datenübertragung an den Zertifikatsprovider.
- Informationsübertragung einwilligen
- Informationen übertragen
4. CSR importieren
Vervollständigen Sie nun die markierten Felder
- CSR / Certificate Signing Request
- Hier den Inhalt Ihres CSR einfügen oder über den Dialog "Upload CSR" hochladen
- Common Name / Subject Alternative Name
- Diese Werte werden aus dem CSR übernommen. Sollten diese Felder leer sein, klicken Sie auf "Get CN from CSR"
- Auto Renew
- Die Checkbox auswählen, damit das Zertifikats vor Ablauf verlängert wird. Hierzu wird das Passwort aus Punkt 4 benötigt.
- Annual Renewal Passphrase
- Dieses Passwort wird zur automatischen Zertifikatsverlängerung benötigt. Zum in Punkt 3 eingestellten Zeitpunkt werden Sie zur Eingabe des Passworts aufgefordert
5. Absenden des Antrags
Nach dem erfolgreichen Absenden des Antrages, wird Ihnen nebenstehende Bestätigung angezeigt.
Der Zertifikatsantrag ist nun bei uns eingegangen und wird von uns bearbeitet. Sollten Rückfragen aufkommen, kontaktieren wir Sie über die im Antrag enthaltente E-Mail Adresse
5. Zertifikat abrufen
Nachdem Ihr Zertifikatsantrag von uns überprüft und genehmigt wurde, erhalten Sie eine E-Mail an die angegebene Adresse.
Diese enthält folgende Informationen:
- Zertifikats-ID zum Sperren / Verlängern des Zertifikats
- Links zum Abrufen des signierten Zertifikats in folgenden Formaten:
- PEM Format:
- Eigenständiges Zertifikat
- Zertifikat mit teilw. Zertifikatskette
- Zertifikat mit vollständiger Zertifikatskette
- PKCS#7 Format:
- Eigenständiges Zertifikat
- Eigenständiges Zertifikat - base64 encoded
- PEM Format:
- Zertifikatsketten in verschiedenen Reihenfolgen:
- Root/Intermediate
- Intermediate/Root
Welches Zertifikats- sowie Zertifikatskettenformat benötigt wird, entnehmen Sie bitte der Dokumentation des von Ihnen eingesetzten Webserver
6. Konfiguration testen
Bitte überprüfen Sie Ihre Konfiguration im Anschluss noch einmal
openssl s_client -connect SUBDOMAIN.uni-wuppertal.de:443
und achten Sie hierbei auf
verify error:num=20:unable to get local issuer certificate
eventuelle Fehler.
Sie können auch einen externen Dienst wie https://www.ssllabs.com/ssltest/index.html nutzen und sollten dabei mindestens ein A erreichen.