PKI

Im folgenden finden Sie Anweisungen zum Anfordern von Zertifikaten mit gängigen Web-Browsern sowie Anweisungen für die Verwendung dieser Zertifikate. Die Anweisungen für die Zertifizierung beziehen sich auf e-mail (S / MIME) Zertifikate. Das Erfordernis der anderen Arten von Zertifikaten ist jedoch weitgehend ähnlich konzipiert. Wenn Sie Vorschläge für weitere Anweisungen oder weitere Fragen haben, schicken Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.

Neue Zertifikate erhalten Sie in Zukunft über den Dienst GÉANT TCS. Bitte wenden Sie sich für Informationen zu konkreten Beantragungsverfahren an Ihren lokalen Teilnehmerservice Ihrer Einrichtung. Für Nutzerzertifikate für die Signierung und/oder optionale Verschlüsselung von E-Mails ist der Beantragungs-Weg der GÉANT TCS PKI in den allermeisten Fällen der richtige Weg. In Zusammenarbeit mit Ihrem lokalen Teilnehmerservice-Mitarbeitenden Ihrer Einrichtung bzw. RA erstellen Sie sich ein Nutzerzertifikat. Nähere Informationen finden Sie auch in den unter „Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten“ Ihnen zur Verfügung stehenden GWDG Nachrichtenartikeln.

Zur Beantragung eines E-Mail-Zertifikats aus der GÉANT TCS PKI, die im Mandanten des DFN der GÉANT TCS PKI verankert ist, klicken Sie bitte auf die nachfolgende PDF-Anleitung.

Bei Fragen senden Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.

Für weiterführende Schritte und eine detaillierte Anweisungen zur Installation und Nutzung des Zertifikats (die Datei mit der Dateiendung .p12 im Download-Verzeichnis des genutzten Webbrowsers) in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgenden Dokumenten.

Einfaches Bash-Skript…

createcsr.sh

openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem

• Script createscr.sh herunterladen.
• Rechte ändern

  chmod 744 createcsr.sh

• Script wie folgt starten

  ./createcsr.sh

Einfaches PowerShell-Skript…

createcsr.ps1

openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem

Einfaches Batch-Skript…

createcsr.bat

openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem

Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.

Einfaches Bash-Skript…

createcsr.sh

openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem

• Script createscr.sh herunterladen.
• Rechte ändern

  chmod 744 createcsr.sh

• Script wie folgt starten

  ./createcsr.sh

Einfaches PowerShell-Skript…

createcsr.ps1

openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem

Einfaches Batch-Skript…

createcsr.bat

openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem

Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.

Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.

example.cnf

HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 4096
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
 
localityName            = Locality Name (eg, city)
localityName_default        = Goettingen
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Max-Planck-Gesellschaft
 
# Den Namen Ihrer der CA untergeordneten RA können Sie hier entnehmen 
# https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras
# und ersetzen damit den Wert PKI
organizationalUnitName	= Organizational Unit Name (eg, your Max-Planck-Institute)
organizationalUnitName_default	= PKI
 
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.mpg.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@mpg.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.mpg.de
DNS.2       = example-san-2.mpg.de

Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.

example.cnf

HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 4096
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
 
localityName            = Locality Name (eg, city)
localityName_default        = Goettingen
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Georg-August-Universitaet Goettingen
 
# Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA 
# können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:uniras und ersetzen damit den Wert PKI.
#organizationalUnitName	= Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA)
#organizationalUnitName_default	= PKI
 
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.uni-goettingen.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@uni-goettingen.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.uni-goettingen.de
DNS.2       = example-san-2.uni-goettingen.de

Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.

example.cnf

HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 4096
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = NIEDERSACHSEN
 
localityName            = Locality Name (eg, city)
localityName_default        = GOETTINGEN
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Gesellschaft fuer wissenschaftliche Datenverarbeitung
 
# Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA 
# können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras und ersetzen damit den Wert PKI.
#organizationalUnitName	= Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA)
#organizationalUnitName_default	= PKI
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.gwdg.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@gwdg.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.gwdg.de
DNS.2       = example-san-2.gwdg.de

Eine Sammlung wichtiger OpenSSL-Befehle für Server-Zertifikate

openssl rsa -in example.key -out example.np.key

openssl pkcs12 -export -out example.pfx -inkey example.key -in example.pem