Hinweis

Das Certmake-Tool ist eine Sammlung von Shell-Skripten als Vereinfachung gegenüber der reinen Nutzung von OpenSSL und setzt damit Linux als Betriebssystem voraus. Sie können CSRs selbstverständlich jederzeit alternativ unter Verwendung der korrekten Einstellungen per OpenSSL unter Linux, certreq unter Windows und anderen Tools erzeugen.

Wir empfehlen, Certmake auf einem Linux-Arbeitsplatzrechner mit Internetzugriff zu verwenden. Bitte beachten Sie, dass aktuell noch die alte Zertifikatskette der DFN-PKI Global G2 vom Tool heruntergeladen wird (unitrier-ca-chain.pem). Bitte verwenden Sie stattdessen die Zertifikatskette aus der Sectigo-Bestätigungsmail!

Anfrage (CSR) für Serverzertifikat erzeugen:

Laden Sie sich zunächst das Repository unter https://gitlab.uni-trier.de/zimk/security/certmake herunter. Dies ist sowohl über den Download-Button als auch per Clone des Git-Repository im Terminal möglich:

  • git clone git@gitlab.uni-trier.de:zimk/security/certmake.git

Wichtig: Beim Clonen per SSH wie oben angegeben, ist die Verwendung eines SSH-Keys erforderlich, dessen öffentlicher Teil Ihrem Profil in GitLab zugeordnet sein muss. Ohne diesen kann Ihre Anmeldung nicht dem korrekten Nutzer zugewiesen werden und es erscheint stattdessen eine Passwortaufforderung für den Nutzer 'git'. Sollten Sie diese sehen, stimmt etwas mit der SSH-Konfiguration Ihres Client nicht.

Navigieren Sie in das hierdurch angelegte Verzeichnis „certmake“

  • cd certmake

Starten Sie das Script

  • ./certmaker.sh

Details eintragen

Sie werden nun nach verschiedenen Details gefragt. Bitte füllen Sie diese gemäß den folgenden Hinweisen aus:

Bitte geben Sie die Hauptdomain des SSL-Zertifikats ein:

  • Geben Sie den Fully Qualified Domain Name (FQDN) ein, für den Sie das SSL-Zertifikat beantragen. Vergessen Sie dabei nicht „.uni-trier.de“ anzufügen.

Key Size:

  • Geben Sie die gewünschte Schlüssellänge ein. Der Standardwert von 4096 Bit gilt als sicher und kann übernommen werden

Bitte geben Sie Ihre Organisationseinheit ein:

  • Bitte einen aussagekräftigen Namen verwenden. (Bibliothek, ZIMK, Verwaltungsdatenverarbeitung usw.)

Bitte geben Sie eine kommaseparierte Liste von Alias-Domains ein:

  • Falls Alias Domains verwendet werden sollen, können diese nun durch Kommata getrennt eingegeben werden. Falls keine Alias Domains verwendet werden sollen, kann dieser Eintrag leer bleiben.

Bitte geben Sie eine E-Mail Adresse für das Zertifikat an:

  • Es muss eine gültige E-Mail Adresse eingetragen werden.

Serverzertifikat beantragen

Den erzeugten PKCS#10-Zertifikatantrag (CSR) finden Sie im Verzeichnis „certmake/out/“. Der Antrag besitzt die Dateiendung „.csr“.

Sie können nun das Serverzertifikat beantragen.