Beantragung eines Serverzertifikats

Voraussetzungen

Bevor ein Serverzertifkat beantragt werden kann, müssen folgende Bedingungen erfüllt sein:

  1. Die DNS-Einträge der beantragten Domains sind bereits im DNS der Universität hinterlegt
  2. Der Antragsteller ist berechtigt für das betroffene Serversystem Zertifikate auszustellen
  3. Der Antragsteller ist Beschäftigter der Universität
  4. Ein CSR / Certificate Signing Request

Wichtig: Bei Multi-Domain Zertifikaten muss der Common Name (CN) ebenfalls in den Subject Alternative Names (SAN) aufgeführt sein!

Anleitung

1. Zertifikatsmanager aufrufen

Rufen Sie den Zertifikatsmanager für Serverzertifikate unter folgendem Link auf:

Geben Sie anschließend im Feld Find Your Institution  "Wuppertal" ein und wählen danach Bergische Universität Wuppertal aus.

 

2. Anmeldung über Shibboleth

Melden Sie sich mit ihren ZIM-Zugangsdaten an.

  1. Accountname
  2. Passwort
  3. Anmelden

3. Datenübertragung bestätigen

Überprüfen Sie die angegebenen Daten und Bestätigen Sie die Datenübertragung an den Zertifikatsprovider.

  1. Informationsübertragung einwilligen
  2. Informationen übertragen

4. CSR importieren

Vervollständigen Sie nun die markierten Felder

  1. CSR / Certificate Signing Request
    • Hier den Inhalt Ihres CSR einfügen oder über den Dialog "Upload CSR" hochladen
  2. Common Name / Subject Alternative Name
    • Diese Werte werden aus dem CSR übernommen. Sollten diese Felder leer sein, klicken Sie auf "Get CN from CSR"
  3. Auto Renew
    • Die Checkbox auswählen, damit das Zertifikats vor Ablauf verlängert wird. Hierzu wird das Passwort aus Punkt 4 benötigt.
  4. Annual Renewal Passphrase
    • Dieses Passwort wird zur automatischen Zertifikatsverlängerung benötigt. Zum in Punkt 3 eingestellten Zeitpunkt werden Sie zur Eingabe des Passworts aufgefordert

 

 

5. Absenden des Antrags

Nach dem erfolgreichen Absenden des Antrages, wird Ihnen nebenstehende Bestätigung angezeigt.

Der Zertifikatsantrag ist nun bei uns eingegangen und wird von uns bearbeitet. Sollten Rückfragen aufkommen, kontaktieren wir Sie über die im Antrag enthaltente E-Mail Adresse

5. Zertifikat abrufen

Nachdem Ihr Zertifikatsantrag von uns überprüft und genehmigt wurde, erhalten Sie eine E-Mail an die angegebene Adresse.

Diese enthält folgende Informationen:

  • Zertifikats-ID zum Sperren / Verlängern des Zertifikats
  • Links zum Abrufen des signierten Zertifikats in folgenden Formaten:
    • PEM Format:
      • Eigenständiges Zertifikat
      • Zertifikat mit teilw. Zertifikatskette
      • Zertifikat mit vollständiger Zertifikatskette
    • PKCS#7 Format:
      • Eigenständiges Zertifikat
      • Eigenständiges Zertifikat - base64 encoded
  • Zertifikatsketten in verschiedenen Reihenfolgen:
    • Root/Intermediate
    • Intermediate/Root

Welches Zertifikats- sowie Zertifikatskettenformat benötigt wird, entnehmen Sie bitte der Dokumentation des von Ihnen eingesetzten Webserver

6. Konfiguration testen

Bitte überprüfen Sie Ihre Konfiguration im Anschluss noch einmal

openssl s_client -connect SUBDOMAIN.uni-wuppertal.de:443

und achten Sie hierbei auf 

verify error:num=20:unable to get local issuer certificate

eventuelle Fehler.

Sie können auch einen externen Dienst wie https://www.ssllabs.com/ssltest/index.html nutzen und sollten dabei mindestens ein A erreichen.

Weitere Infos über #ZimUniWuppertal