SSL/TLS/SMIME-Zertifikate der Otto-von-Guericke-Universität Magdeburg

Dieser Service (Teilnehmerservice TS) dient der Erstellung elektronischer Zertifikate (z.B. EMAIL-SMIME, Webserver-HTTPS, GRID) für Mitglieder der Otto-von-Guericke-Universität Magdeburg nach den Richtlinien der Zertifizierungsinstanz des Vereins zur Förderung des Deutschen Forschungsnetzes e.V. (www.pki.dfn.de).

Achtung! Zertifikate können nur für der OvGU gehörenden Domains (ovgu.de und uni-magdeburg.de) ausgestellt werden und müssen der universitären Forschung dienen. Nutzer und Serverzertifikate für das Niveau Global der DFN-PCA beantragen Sie bitte auf einer der folgenden verlinkten Webseiten:

  • ACHTUNG! folgende Antrags-Weblinks ändert sich etwa jährlich, benutzen Sie bitte diese Webseite als Einstieg/Bookmark
  • ab 2022-10 Server-Zertifikate per CSR-Request via Geant/Sectigo und AAI-Anmeldung
  • ab 2023-08 persönliche Zertifikate via Geant/Sectigo
    • Vorraussetzung: Ausweiskontrolle (einmalig, s.o.), sonst Fehler: "You are not allowed to self enroll."
      • URZ: G26-036 J. Schulenburg Tel.58408, oder Lilienblum/Kuhfahl/Nykolaichuk
      • K2: G09-414 A.Grahn Tel.51076
      • FMA: G02-08 A.Kaina Tel.58648
      • FIN: G29-322 T.Schwarzer Tel.52837
      • FME, medizin. Fak., MRZ H17/203 Tel.15724 F.Franke/R.Boehm
    • Kurzanleitung:
      • Anmeldung bei Geant/Sectigo via OVGU-Shibboleth
      • "Choose Your Institution": Otto-von-Guericke-University Magdeburg ...
      • "Certificate Profile": "GEANT Personal Certificate"
      • "Term": 730 days
      • "Enrollment Method": "CSR" (sicherer) oder "Key Generation" (einfacher)
        • bei "CSR" muss das Schlüsselpaar und der CSR-Request separat auf eigenem Rechner erzeugt werden und der CSR-Request im nächsten Schritt hochgeladen werden
        • bei "Key Generation" wird das Schlüsselpaar automatisch auf dem Sectigo-Server erzeugt (potentiell unsicher) und anschließend als Download bereitgestellt
      • EULA lesen und Häckchen für Einverständnis setzen (ACHTUNG: Vertrag pro Enduser mit internationaler Firma Sectigo, Gerichtsstand GB, Stand: Jun2023)
      • Submit (usw. ;))
    • Rechnen Sie bitte mit wöchentlichen Aenderungen oder Störungen an der Sectigo-Software.
  • ab 2023-08 persönliche Zertifikate und Server-Zertifikate der DFN-Community
    • Alternative zu Sectigo, aber das DFN-Community-Root-Zertifikat ist nicht(!) bei Betriebssystemen und Browsern verankert, händischer Import nötig (Link unten), unabhängig, zuverlässig, papierlos, längere Laufzeiten (5J)
    • Antrag via DFN-Community-OVGU
    • Hinweis: auch bei Upload eines CSR-Requests kommt die überfüssige Frage nach einem Passwort für die Antragsdatei, bevor der PDF-Antrag mit dem Fingerprint generiert wird
    • wichtig: PDF-Antrag per EMAIL/Hauspost an URZ: G26-036 J. Schulenburg Tel.58408 oder E. Lilienblum
    • Root-Zertifikat für Browser-Import: DFN-Community-Root-Zertifikat

Erzeugen eines CSR-Requests mit OpenSSL und Test des Zertifikates (ab 2007)

Dies ist eine minimale rudimentaere Anleitung. Im Web finden Sie u.U. bessere zu Ihrer Anwendung passende Anleitungen. Generierung und Hochladen des CSR-Antrags ist sicherer als die von Anbietern oft angebotene Schlüsselgenerierung im Browser (Sicherheit kostet).

 1) Lesen Sie Policy "DFN-Community" der www.pki.dfn.de
 2) Schluessel erzeugen (man genrsa)
    openssl genrsa -out user.key 4096
    # -rand ~/.gnupg/random_seed wenn moeglich (bessere Zufallszahl) 
    # -des3 nur fuer verschluesselten Key (Passphrase benoetigt)
    # alte Schluessel und CSRs koennen ggf. wiederverwendet werden
 3) Certificationrequest generieren (PKCS#10-Zertifikatantrag)
    openssl req -new -out user.csr -key user.key \
    -subj "/GN=Max/SN=Mustermann/CN=Max Mustermann/emailAddress=max.\
mustermann@ovgu.de/OU=Abteilung/O=Otto-von-Guericke-Universitaet Magdeburg/C=DE"
    # keine Umlaute verwenden! (ä=ae,ö=oe,...)
    # Gruppen und Pseudonyme muessen mit CN "GRP: ","PN: ", "GRP - " oder "PN - " beginnen
    # Server: -subj "CN=foo1.ovgu.de/O=Otto-von-Guericke-Universitaet Magdeburg/C=DE"
    # optional alternative Server-Namen:      (zugefuegt 2023-07)
    # since OpenSSL 1.1.1 -addext "subjectAltName = DNS:foo1.ovgu.de, DNS:foo2.ovgu.de"
    #   bei Usern DN.CN=Titel Vorname Name (nur wie im Ausweis! ä=ae usw.)
    # - challenge.pwd=xxxx
    openssl req -noout -text -verify -in user.csr # ggf. altes CSR pruefen
    # Fingerprint notieren
    openssl req -noout -modulus -in user.csr | openssl sha1 -c
    # neu2017: Online-Antrag (Links s.o.) ausfuellen und ausdrucken.
    # neu2022: Online-Antrag (Links s.o.) ausfuellen
 4) Zertifizierung durch die CA (CSR zu CRT/P7B/PKCS#7)
    # user.crt speichern (ggf. combined KEY+CRT as PKCS#12)
 5) Zertifikat pruefen und einspielen, z.B: 
    openssl x509 -noout -text -in user.crt  # show cert-content
    # fuer SSL-Server (siehe ssl.conf SSLCertificateFile)
    export CFG=/usr/local/apache/conf    # FC6: /etc/httpd/conf.d/
    cp user.key $CFG/ssl.key/server.key
    cp user.pem $CFG/ssl.crt/server.crt  # von CA-signiert ggf. CA-Kette anhaengen
    ### CentOS-6.4: see /etc/sysconfig/httpd + /etc/httpd/conf.d/ssl.conf
    cp user.key /etc/pki/tls/private/localhost.key
    cp user.pem /etc/pki/tls/certs/localhost.crt
    # copy chain to /etc/pki/tls/certs/server-chain.crt
    # Datei-Zugriffsrechte fuer httpd beachten!
    # Wenn abweichend, bitte EMAIL mit Korrektur an mich
    # fuer Nutzerzertifikate (entsprechend Anwendung/App)
    # ToDo: minimal encrypt/decrypt/signatur von Files mit openssl
    # ToDo: replace Apache by universal stunnel-Anleitung
 6) Webserver mit Zertifikat nach Restart testen
    openssl s_client -connect www.meinserver.de:443 -showcerts
    # es muss die gesamte Zertifikatskette angezeigt werden

Aktuelles+Historie:

  • 2023-10 ACHTUNG: der jabber.ru-Hack hat gezeigt, dass Zertifikatsketten nicht verlaesslich sind, checken Sie, ob der Public-Key Ihnen oder ihrem Browser bekannt ist (FF, Schlosssymbol, mehr Infos)
  • 2023-04 Umstellung Nutzer-Zertifikate auf GEANT-TCS (signiert vom Anbieter Sectigo mit GEANT-Signatur im Auftrag von GEANT, i.d.R. privat key auf Sectigo-Server ausserhalb OvGU generiert, papierlos)
  • 2022-05 bis 2022-12: Umstellung Serverzertifikate on DFN-PKI (DE) zu Geant-TCS (EU)
  • 2021-07: Anleitung/Hilfe zu Anwendungen (geplant)
  • 2021-07: Zeitstempeldienst des DFN
  • Nov2017: Abschaltung Uni-CA, Nutzung DFN-CA, Umbenennung Registration Authority (RA) in Teilnehmerservice der OVGU
  • Jan2017: Zertifikatskette G2(SHA2 bis max. Feb2031), Rootzertifikat zum Import: .crt, .der
  • Jan2017: Neues Root-Zertifikats G2 mit SHA2, siehe faq-umstellung-sha-2 der DFN-PKI. Anmerkung: SHA1 im Root-Zertifikat cryptologisch bedeutungslos.
  • Mai2014: SHA2-SSL/TLS-Zertifikatskette pki.pca.dfn.de bis max. Jul2019, Rootzertifikat zum Import: .crt, .der
  • Apr2014: Etwa 7 vom openssl-1.0.1-Bug betroffende Systeme, Zertifikate getauscht.
  • Jan2010: Stilllegung der PGP-DFN-CA wegen mangelnder Nachfrage (3 Unis)
  • Jul2009: Aufnahme Telekom Root Zertifikat in FireFox-3.5, Root der DFN-PCA
  • Sep2008: DFN-PCA von Apple-Systemen unterstützt
  • Feb2007: ausgelagerte Zertifizierungsstelle (CA, Key bei DFN-PKI) und Registrierungsstelle (RA) für Sicherheitslevel Global in Betrieb genommen. Das Wurzelzertifikat (Root) ist die Deutsche Telekom Root CA 2 G01 und wird Bestandteil des IE-7 sein.
  • Feb2007: EuGrid-RA in Betrieb genommen.
  • Apr2006: Neuer PGP Zertifizierungsschlüssel der CA-OvGUM
  • URZ-Kurs vom 14.04.2004 zur EMAIL-Verschlüsselung mit GnuPG
  • Feb2004: Start CA OvG-Universität Magdeburg, lokaler Key

Author: Jörg Schulenburg 2004-2023 (except for egocms frame), please disable JScript for more security and privacy, "No-Style/No-CSS"-compatible

Letzte Änderung: 28.11.2023 - Ansprechpartner: Webmaster