Aktueller Hinweis
Der DFN-Verein wechselt zum 31.12.22 mit den Serverzertifikaten zum Dienst Géant TCS, welcher aktuell beim Anbieter Sectigo gehostet wird. Hierdurch ergeben sich im Wesentlichen folgende Änderungen für Sie:
- Die Beantragung von browserverankerten Serverzertifikaten in der alten PKI ist ab dem 30.12. nicht mehr möglich, nur noch über TCS.
- Bis dahin beantragte Serverzertifikate behalten ihre Gültigkeit. Eine vorzeitige Verlängerung noch gültiger Zertifikate ist nicht nötig.
- Eine vorherige Akkreditierung bei der Beantragung ist nicht mehr erforderlich.
- Die papierbasierten Formulare fallen weg. Der komplette Prozess ist webbasiert.
Serverzertifikat beantragen
Zur Beantragung eines Serverzertifikates sind die folgenden Schritte erforderlich:
- Erzeugen Sie eine Zertifkatanfrage (CSR) mit den unten genannten Daten (hier als Ausschnitt einer OpenSSL Config für einen CSR). Eine einfache und schnelle Möglichkeit hierzu bietet das Certmake-Tool des ZIMK.
countryName = DE
stateOrProvinceName = Rheinland-Pfalz
localityName = Trier
organizationName = Universitaet Trier - Öffnen Sie anschließend über den Link https://cert-manager.com/customer/DFN/ssl/uni-trier/login das sog. Enrollment Form. Dieses wurde von uns vorkonfiguriert für die Ausstellung herkömmlicher Serverzertifikate (OV Multi-Domain 1 Jahr).
- Klicken Sie dort auf den Button "Your Institution" zum Start des Logins per Shibboleth. Nach einer Auswahl der Universität Trier als Identity Provider können Sie sich mit Ihrer ZIMK-Benutzerkennung anmelden. Analog zu anderen Diensten mit Shibboleth-Login werden Sie vor der Weitergabe Ihrer Daten an den Dienst um Erlaubnis gefragt.
- Laden Sie im Enrollment Form die zuvor erzeugte CSR-Datei per Klick auf "Upload CSR" hoch.
- Die Felder "Common Name" und "Subject Alternative Name" (SAN) werden automatisch anhand des CSR ausgefüllt. Weitere SANs können hier hinzugefügt werden, sollten Sie diese im CSR vergessen haben.
- Neben der Möglichkeit einen Kommentar im Feld "Comment" zu hinterlassen, können Sie das Zertifikat vor dessen Ablauf automatisch verlängern lassen mittels des Schalters "Auto Renew". Bei Nutzung dieser Möglichkeit muss das verlängerte Zertifikat im Portal heruntergeladen und auf dem System eingespielt werden, in dem es verwendet wird.
- Schicken Sie das Formular mittels "Submit" ab.
Antrag wird geprüft
Die Registrierungsstelle prüft nun Ihren Antrag und Sie erhalten nach Erteilung oder Ablehnung des Zertifikatantrags eine E-Mail mit weiteren Details. Ferner können Sie den Status Ihres Antrags jederzeit im Sectigo Certificate Manager einsehen, welcher nach dem Abschicken des Formulars geöffnet wird.