Inhaltsverzeichnis
PKI
Public Key Infrastructure
Im folgenden finden Sie Anweisungen zum Anfordern von Zertifikaten mit gängigen Web-Browsern sowie Anweisungen für die Verwendung dieser Zertifikate. Die Anweisungen für die Zertifizierung beziehen sich auf e-mail (S / MIME) Zertifikate. Das Erfordernis der anderen Arten von Zertifikaten ist jedoch weitgehend ähnlich konzipiert. Wenn Sie Vorschläge für weitere Anweisungen oder weitere Fragen haben, schicken Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.
Beantragung persönliches E-Mail-Zertifikat...
Neue Zertifikate erhalten Sie in Zukunft über den Dienst GÉANT TCS. Bitte wenden Sie sich für Informationen zu konkreten Beantragungsverfahren an Ihren lokalen Teilnehmerservice Ihrer Einrichtung. Für Nutzerzertifikate für die Signierung und/oder optionale Verschlüsselung von E-Mails ist der Beantragungs-Weg der GÉANT TCS PKI in den allermeisten Fällen der richtige Weg. In Zusammenarbeit mit Ihrem lokalen Teilnehmerservice-Mitarbeitenden Ihrer Einrichtung bzw. RA erstellen Sie sich ein Nutzerzertifikat. Nähere Informationen finden Sie auch in den unter „Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten“ Ihnen zur Verfügung stehenden GWDG Nachrichtenartikeln.
...aus der GÉANT TCS PKI
Zur Beantragung eines E-Mail-Zertifikats aus der GÉANT TCS PKI, die im Mandanten des DFN der GÉANT TCS PKI verankert ist, klicken Sie bitte auf die nachfolgende PDF-Anleitung.
Auf Grund von häufigen Änderungen im Beantragungs- und Ausstellungsprozess des GÉANT TCS PKI Betreibers Sectigo sind diese zur leichtere Änderung und Anpassung als PDF-Datei erstellt worden.
Bei Fragen senden Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.
Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten
Für weiterführende Schritte und eine detaillierte Anweisungen zur Installation und Nutzung des Zertifikats (die Datei mit der Dateiendung .p12 im Download-Verzeichnis des genutzten Webbrowsers) in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgenden Dokumenten.
GÉANT TCS PKI
- GWDG Nachrichten 11|22 - Teil 7: Beantragung, Erstellung und Import eines Nutzerzertifikats in der GÉANT TCS PKI
Allgemeingültig für X.509-Zertifikate
- GWDG Nachrichten 1-2|20 - Teil 2: Installation und Verteilung von Zertifikaten
- GWDG Nachrichten 3|20 - Teil 3: Outlook-E-Mail-Anwendungen
- GWDG Nachrichten 7-8|20 - Teil 4: Apple E-Mail-Anwendungen
- GWDG Nachrichten 11|20 - Teil 5: Thunderbird, Notes und Mutt
- GWDG Nachrichten 5|21 - Teil 6: Private Zertifikate mit der Volksverschlüsselung
Beantragung Server-Zertifikate...
...aus der GÉANT TCS PKI
Zur Beantragung von ACME External Account Binding Informationen für Server-Zertifikaten aus der GÉANT TCS PKI, die im Mandanten des DFN der GÉANT TCS PKI verankert ist, senden Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.
Nachdem Sie die ACME External Account Binding Informationen erhalten haben, können Sie die Zertifikate für Ihre Server automatisiert erstellen. Eine Anleitung dazu finden Sie in dem folgenden GWDG-Nachrichten Artikel:
- GWDG Nachrichten 03|22 - Teil 4: Automatisierte Erstellung von Serverzertifikaten mit Bot-Software
Unix/OS X
OpenSSL mit folgenden Parametern aufrufen
Einfaches Bash-Skript…
- createcsr.sh
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
- Script createscr.sh herunterladen.
- Rechte ändern
chmod 744 createcsr.sh
- Script wie folgt starten
./createcsr.sh
Windows
Einfaches PowerShell-Skript…
- createcsr.ps1
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
Einfaches Batch-Skript…
- createcsr.bat
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.
Beantragung Server-Zertifikat mittels OpenSSL.cnf
OpenSSL mit folgenden Parametern aufrufen
Unix/OS X
Einfaches Bash-Skript…
- createcsr.sh
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
- Script createscr.sh herunterladen.
- Rechte ändern
chmod 744 createcsr.sh
- Script wie folgt starten
./createcsr.sh
Windows
Einfaches PowerShell-Skript…
- createcsr.ps1
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
Einfaches Batch-Skript…
- createcsr.bat
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.
Beispieldateien für OpenSSL.cnf
MPG
Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.
- example.cnf
HOME = . RANDFILE = $ENV::HOME/.rnd #################################################################### [ req ] default_bits = 4096 default_keyfile = example.key distinguished_name = server_distinguished_name req_extensions = server_req_extensions string_mask = utf8only #################################################################### [ server_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = DE stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Niedersachsen localityName = Locality Name (eg, city) localityName_default = Goettingen organizationName = Organization Name (eg, company) organizationName_default = Max-Planck-Gesellschaft # Den Namen Ihrer der CA untergeordneten RA können Sie hier entnehmen # https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras # und ersetzen damit den Wert PKI organizationalUnitName = Organizational Unit Name (eg, your Max-Planck-Institute) organizationalUnitName_default = PKI commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = example.mpg.de emailAddress = Email Address emailAddress_default = noreply@mpg.de #################################################################### [ server_req_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "OpenSSL Generated Certificate" #################################################################### [ alternate_names ] DNS.1 = example-san-1.mpg.de DNS.2 = example-san-2.mpg.de
Uni Göttingen
Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.
- example.cnf
HOME = . RANDFILE = $ENV::HOME/.rnd #################################################################### [ req ] default_bits = 4096 default_keyfile = example.key distinguished_name = server_distinguished_name req_extensions = server_req_extensions string_mask = utf8only #################################################################### [ server_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = DE stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Niedersachsen localityName = Locality Name (eg, city) localityName_default = Goettingen organizationName = Organization Name (eg, company) organizationName_default = Georg-August-Universitaet Goettingen # Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA # können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:uniras und ersetzen damit den Wert PKI. #organizationalUnitName = Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA) #organizationalUnitName_default = PKI commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = example.uni-goettingen.de emailAddress = Email Address emailAddress_default = noreply@uni-goettingen.de #################################################################### [ server_req_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "OpenSSL Generated Certificate" #################################################################### [ alternate_names ] DNS.1 = example-san-1.uni-goettingen.de DNS.2 = example-san-2.uni-goettingen.de
GWDG
Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.
- example.cnf
HOME = . RANDFILE = $ENV::HOME/.rnd #################################################################### [ req ] default_bits = 4096 default_keyfile = example.key distinguished_name = server_distinguished_name req_extensions = server_req_extensions string_mask = utf8only #################################################################### [ server_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = DE stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = NIEDERSACHSEN localityName = Locality Name (eg, city) localityName_default = GOETTINGEN organizationName = Organization Name (eg, company) organizationName_default = Gesellschaft fuer wissenschaftliche Datenverarbeitung # Bitte bei den übernächsten beiden Zeilen das Kommentarzeichen entfernen. Den Namen der CA untergeordneten RA # können Sie hier entnehmen https://info.gwdg.de/docs/doku.php?id=de:services:it_security:pki:gwdgras und ersetzen damit den Wert PKI. #organizationalUnitName = Organizational Unit Name (eg, your Institute name in the Uni-Goettingen-CA) #organizationalUnitName_default = PKI commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = example.gwdg.de emailAddress = Email Address emailAddress_default = noreply@gwdg.de #################################################################### [ server_req_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "OpenSSL Generated Certificate" #################################################################### [ alternate_names ] DNS.1 = example-san-1.gwdg.de DNS.2 = example-san-2.gwdg.de
Wichtige OpenSSL-Befehle
Eine Sammlung wichtiger OpenSSL-Befehle für Server-Zertifikate
Entfernung des Kennworts vom privaten Schlüssel
openssl rsa -in example.key -out example.np.key
Erstellen einer PKCS#12-Datei aus privaten und öffentlichen Schlüssel
openssl pkcs12 -export -out example.pfx -inkey example.key -in example.pem
Detaillierte Beschreibung der Einsatzmöglichkeiten von X.509-Zertifikaten
GÉANT TCS PKI
- GWDG Nachrichten 03|22 - Teil 4: Automatisierte Erstellung von Serverzertifikaten mit Bot-Software
DFN-Verein Community CA
- GWDG Nachrichten 09-10|20 - Teil 1: Serverzertifikate
- GWDG Nachrichten 12|20 - Teil 2: Ein Blick hinter die Kulissen eines Teilnehmerservices
- GWDG Nachrichten 03|21 - Teil 3: Das Programm GUIRA für den Teilnehmerservice