Inhaltsverzeichnis

Zum 10.01 erfolgte die Umstellung des Zertifikats-Dienstleisters. Nun werden Zertifikate über HARICA bezogen. Für das Beantragen der Zertifikate, egal ob Benutzer- oder Server-Zertifikat, gibt es nun eine gemeinsame Web-Adresse und Sie haben zudem die Möglichkeit den CSR direkt über den Browser erzeugen zu lassen.

Hinweis: Gruppen- und Pseudonym-Zertifikate stehen aktuell noch nicht zur Verfügung.

Anmeldung


Zertifikate werden beantragt über die Web-Adresse:

    https://cm.harica.gr/

Nach Aufruf gelangen Sie auf eine Einstiegsseite

Hier den "Academic Login" auswählen.


Anschließend die Frankfurt University of Applied Sciences ins Suchfeld eingeben und als passsenden Identity-Provider auswählen.

Nun mit dem CIT-Account anmelden. Anschließend können Nutzer- oder Server-Zertifikate beantragt werden.

Nutzerzertifikat


Für ein Nutzerr-Zertifikat wählen Sie bitte in der Seitenleiste unter dem Abschnitt "Certificate Requests" den Punkt "Email" aus.

Als Typ wählen Sie bitte "Email-only". Dieser ist für uns kostenlos.

 Sobald der Typ ausgewählt wurde erscheint diese Ansicht, in der Sie sehen können welche E-Mail-Adresse im Zertifikat verwendet wird. Mit einem Klick auf "Next" gelangen Sie zur nächsten Ansicht.

 

Hier steht nur eine Methode zur Validierung bereit, nämlich das Senden einer E-Mail an die Adresse, für die das Zertifikat ausgestellt werden soll. Klicken Sie auf "Next".

Hier erhalten Sie eine Übersicht mit Typ und Gültigkeitsdauer. Es muss anschließend noch bestätigt werden, dass Sie die Bedingungen und zusätzlichen Dokumente von HARICA gelesen haben und diesen zustimmen. Klicken Sie nun auf "Submit", um die Antrag abzuschicken.

Nun gelangen Sie in ihr Dashboard, auf dem Sie den Status des Zertifikats sehen können. Unter Actions ist erkennbar, dass noch auf etwas gewartet wird, nämlich das Bestätigen der Adresse. Öffnen Sie dafür ihre Mails. Sie sollten eine E-Mail von HARICA Certificate Manager (CM) <noreply@harica.gr> erhalten haben, die wie folgt aussieht:

Klicken Sie auf den Button "Confirm". Wenn Sie dies nicht innerhalb von 24 Stunden durchführen, müssen Sie sich erneut eine Bestätigungs-Mail zusenden lassen. Folgen Sie dafür den Anweisungen in der ersten Mail.

Es öffnet sich das HARICA-Login, wo Sie sich bitte erneut mit ihrem CIT-Account anmelden.

Anschließend sehen Sie die folgende Ansicht:

Hier bestätigen Sie mit einem Klick auf "Confirm", dass Sie Eigentümer der E-Mail-Adresse sind. Danach können Sie dieses Fenster schließen, falls Sie bereits in einem anderen Tab eingeloggt waren, oder Sie melden sich erneut bei https://cm.harica.gr/ an. Auf ihrem Dashboard sehen Sie dann neuen Status des Zertifikates:

 

 

 Hier können Sie mit "Enroll your Certificate" ihr Zertifikat anfordern.

Unter "Generate Certificate" können Sie sich direkt einen Schlüssel erzeugen lassen und am Ende das Zertifikat im .p12 Format herunterladen. 

Hier wählen Sie den Algorithmus ("Algorithm") und die Größe des Schlüssels ("Key size") aus. Default ist RSA und 2048.

Es wird ein Passwort für den Schlüssel gesetzt und anschließend müssen Sie noch bestätigen, dass nur Sie dieses Passwort kennen und HARICA darauf keinen Zugriff hat. 

Mit Klick auf "Enroll Certificate" wird das Zertifikat angefordert und es öffnet sich das folgende Fenster:


Nun haben Sie die einmalige (später ist dies nicht mehr möglich!) Gelegenheit das Zertifikat herunterzuladen. Dafür klicken Sie auf "Download". 

Wenn ihr Download abgeschlossen ist

können Sie das Fenster schließen und anschließend ihr Zertifikat in ihrem E-Mail-Client hinterlegen. 

Das fertige Zertifikat wird in Ihrem Dashboard dann wie folgt angezeigt:

Hier können Sie sehen um welchen Produkt es sich handelt, wie lange es gültig ist, für welche E-Mail-Adresse es ausgestellt wurde. Mit den 3 Punkten öffnet sich die Möglichkeit das Zertifikat zu sperren, falls Sie zum Beispiel ein neues Zertifikat beantragen und das alte noch gültig wäre.

Gruppen- und Pseudonym-Zertifikate

Stehen aktuell noch nicht zur Verfügung. Sobald diese bereit stehen werden wir die Anleitung entsprechend anpassen.

Serverzertifikat


Wenn Sie den CSR manuell erstellen möchten, folgen Sie bitte dem Abschnitt  CSR manuell erstellen

Zertifikat beantragen

Für ein Server-Zertifikat wählen Sie bitte in der Seitenleiste unter dem Abschnitt "Certificate Requests" den Punkt "Server" aus.



Hier können Sie einen optionalen "Friendly name" wählen, um das Zertifikat in ihrer Übersicht leichter identifizieren zu können. 

Im zweiten Feld geben Sie den Domain Namen an. Falls es mehrere Namen gibt, können Sie diese mit Klick auf "Add more domains" hinzufügen.

Anschließend auf "Next" klicken.

 

Nun werden die verfügbaren Zertifikats-Typen angezeigt. Wählen Sie hier bitte "For enterprises or organizations (OV)" aus. Diese erhalten Sie ohne weitere Kosten und diese beinhalten auch den Namen der Hochschule im Zertifikat.

Optional kann auch "Domain-only (DV)" gewählt werden, es fehlt dann allerdings die Angaben zur Hochschule als zusätzliche Zertifikats-Information.

 Nachdem Sie auf den passenden Typ geklickt haben wird dieser ausgewählt und die Ansicht ändert sich. Klicken Sie auf "Next" um weiter zu machen.

 

Es folgt eine Übersicht über den Zertifikats-Antrag. Welcher Typ, welche Dauer, welche Domain und welche zusätzlichen Informationen zur Hochschule im Zertifikat hinterlegt sind. Es muss anschließend noch bestätigt werden, dass Sie die Bedingungen und zusätzlichen Dokumente von HARICA gelesen haben und diesen zustimmen. 


Für den CSR haben Sie zwei Möglichkeiten:

Entweder generieren Sie diesen über den Browser "Auto-generate CSR", dann geht es hier weiter.

Oder Sie laden den CSR, nach vorheriger manueller Erzeugung, manuell hoch "Submit CSR manually". Dann geht es hier weiter.

CSR Automatisch erzeugen lassen

Hier wählen Sie den Algorithmus ("Algorithm") und die Größe des Schlüssels ("Key size") aus. Default ist RSA und 2048.

Es wird ein Passwort für den Schlüssel gesetzt und anschließend müssen Sie noch bestätigen, dass nur Sie dieses Passwort kennen und HARICA darauf keinen Zugriff hat. 

Zusätzlich müssen Sie noch bestätigen, dass Sie die Bedingungen und zusätzlichen Dokumente von HARICA gelesen haben und diesen zustimmen. 

Nun haben Sie die einmalige (später ist dies nicht mehr möglich!) Gelegenheit den Schlüssel herunterzuladen. Dafür klicken Sie auf "Download". 

Wenn Sie diesen heruntergeladen haben bestätigen Sie dies durch das Setzen des Hakens bei "I have downloades my private Key" und kehren mit Klick auf "Go back to Dashboard" zu ihrer Übersicht zurück.

Anschließend geht es hier weiter.

CSR manuell hochladen

 Hier können Sie den manuellen erzeugten CSR einfügen und bestätigen anschließend noch, dass Sie die Bedingungen und zusätzlichen Dokumente von HARICA gelesen haben und diesen zustimmen. 

Nun müssen Sie warten bis Ihr Zertifikat geprüft und genehmigt wurde. 

Zertifikat herunterladen

 Sie können das genehmigte Zertifikat von Ihrem Dashboard aus herunterladen.

CSR manuell erstellen (Zertifikatsantrag im PKCS#10-Format)


Mittel der Wahl zur Erstellung eines solchen Antrags ist das Kommandozeilenwerkzeug openssl aus der gleichnamigen Software zur Transportverschlüsselung. Das Programm erlaubt die Beantragung, Erzeugung und Verwaltung von Zertifikaten und ist Bestandteil gängiger Linux-Distributionen. Die Erstellung kann, muss aber nicht auf dem Rechner erfolgen, für den das Zertifikat beantragt wird. 

Hinweis: Installation unter Windows

Eine Möglichkeit, openssl auch unter Windows nutzen zu können, ist Git for Windows, das neben weiteren Werkzeugen auch openssl.exe und eine BASH Emulation als Kommandozeile bereit hält. Innerhalb dieser Umgebung lassen sich die weiteren Anweisungen auch unter Windows ausführen.
Alternativ kann OpenSSL auch an dieser Stelle heruntergeladen werden. Vorteilhaft ist dabei, dass das Paket wesentlich kleiner ist und weniger für diesen Zweck unnötige Dateien enthält.

Erster Schritt: Schlüssel (key) generieren, mit dem der Antrag signiert wird

openssl genrsa -out <server>_key.pem 2048

Die Datei <server>_key.pem (bitte den eigenen Anforderungen anpassen!) enthält den privaten und öffentlichen Schlüssel und wird mit einem Passwort geschützt. Da die angestrebte Sicherheit der Datenkommunikation von diesem Schlüssel abhängt, sollte er sicher aufbewahrt und das Passwort hinreichend komplex gewählt werden. 

In bestimmten Fällen kann es notwendig sein, den Schlüssel ohne Passwort bereitzustellen. Das Passwort kann jederzeit entfernt werden:

openssl rsa -in <server>_key.pem -out <server>_key_nopw.pem

Der Schlüssel muss in diesem Fall aber mit anderen Mitteln adäquat geschützt werden. 

Zweiter Schritt: Antrag erstellen  

openssl req -batch -sha256 -new -key <server>_key.pem 
            -out <server>_req.pem 
            -subj '/C=DE/ST=Hessen/L=Frankfurt am Main
                    /O=Frankfurt University of Applied Sciences
                    /OU=<Abteilung>/CN=<server>.<subdomain>.frankfurt-university.de'

Die obige Sequenz muss angepasst und am Stück in einer Zeile eingegeben werden.  

Das Ergebnis <server>_req.pem kann vor Übermittlung nocheinmal geprüft werden:

openssl req -in <server>_req.pem -noout -text

Wissenswertes


PFX/PKCS#12-Datei erstellen

In bestimmten Fällen ist es erforderlich, dass das Zertifikat als PKCS#12-Datei vorliegt. Solche Dateien fassen die erforderlichen Bestandteile in einer einzigen Datei zusammen. Es müssen vorliegen:

  • RSA-Key: <server>_key.pem (wie oben erstellt)
  • Zertifikat der DFN-PKI: <server>_crt.pem 
  • CA-Zertifikatskette: komplette Vertrauenskette aller Zwischenzertifikate bis zum Root-Zertifikat hin

Für die Erstellung wird wieder openssl verwendet:

openssl pkcs12 -export -inkey <server>_key.pem
               -in <server>_crt.pem
               -certfile chain.txt -out pkcs12 <server>.p12

Auch hier: alles in einer Zeile und Werte entsprechend anpassen!

Die wichtigsten OpenSSL-Befehle in einer Übersicht:

https://help.internetx.com/display/SSL/OpenSSL+-+Die+wichtigsten+Befehle