KIT-CA - Steinbuch Centre for Computing

Anleitungen zur Nutzung von Serverzertifikaten der KIT-CA

Bitte beachten Sie, dass am 15. März 2017, 14:30 Uhr MEZ, ein neues Zertifikat der KIT-CA in Betrieb gegangen ist. Dieses neue CA-Zertifikat hängt in einer komplett neuen Zertifizierungskette, die auf ein neues Wurzelzertifikat der Deutschen Telekom führt. Bei Servern, die bereits Zertifikate der KIT-CA verwenden, die vor dem 15. März 2017 beantragt wurden, muss daher beim Einspielen eines neuen Zertifikates ebenfalls die gesamte Zertifikatkette erneuert werden!

Voraussetzung zur Beantragung von Serverzertifikaten ist der Besitz eines gültigen von der KIT-CA ausgestellten Nutzerzertifikats.

Da damit bereits eine Identifizierung sichergestellt ist, ist es nicht notwendig, persönlich bei einer Registrierungsstelle zu erscheinen, Sie müssen die Teilnehmer-Erklärung aber dennoch im Original einer der Registrierungsstellen der KIT-CA zukommen lassen. Dies ist beispielsweise per Hauspost an »KIT-CA, SCC, Campus Süd« möglich.

Zur Beantragung von Benutzer- und Gruppenzertifikaten beachten Sie bitte die dazugehörigen Anleitungen.

Anleitungen zu Serverzertifikaten:

Welche Software zur Schlüsselerzeugung und Antragsgenerierung genutzt wird, hängt vom jeweiligen Anwendungsfall bzw. der Zielsoftware ab. Java-Software nutzt oft einen java-spezifischen Keystore, hier bietet sich keytool an. GnuTLS und OpenSSL funktionieren auf allen Systemen gleich und speichern alle Daten transparent in Dateien. certutil schreibt direkt in den Windows-Zertifikatsspeicher, funktioniert aber nur dort.

Allgemeines Vorgehen und Hinweise:

Die KIT-CA wird in Form einer Online-CA im Auftrag des KIT durch den DFN-Verein betrieben. Zertifikate werden direkt mittels einer Webschnittstelle beantragt, die durch den DFN-Verein zur Verfügung gestellt wird. Damit ein beantragtes Serverzertifikat ausgestellt werden kann, ist es notwendig, dass Sie ein gültiges Personenzertifikat der KIT-CA besitzen sowie das von der Webschnittstelle generierte Antragsformular im Original ausgefüllt in Papierform einer der Registrierungsstellen (RA) des KIT zu kommen zu lassen. Danach wird von den Mitarbeitern der entsprechenden RA der Zertifikatantrag freigeschaltet; die KIT-CA stellt daraufhin das beantragte Zertifikat aus.

Um ein Serverzertifikat beantragen zu können, muss zunächst ein entsprechender Request generiert werden, der mit Hilfe des Webinterfaces an die KIT-CA geschickt werden kann. Unabhängig von der verwendeten Software sind einige Rahmenbedingungen einzuhalten, die in den Policies der DFN-PKI und der KIT-CA näher beschrieben sind. Die wichtigsten einzuhaltenden Eckpunkte sind:

  • Der DN muss mindestens die Zeichenketten C=DE, ST=Baden-Wuerttemberg, L=Karlsruhe und O=Karlsruhe Institute of Technology enthalten.
  • Der Name des Servers muss ein vollqualifizierter Rechnername (Fully-qualified host name, FQHN) sein, der auf eine der folgenden Domains enden:
    • fzk.de
    • kit.edu
    • uka.de oder
    • uni-karlsruhe.de
  • Neben dem Namen des Servers muss im Zertifikatantrag unter Angaben zur Person eine E-Mail-Adresse angegeben sein, mit der ein verantwortlicher Administrator erreicht werden kann. Es bietet sich an, eine Gruppenmailingliste oder einen Mailverteiler anzugeben, um elegant sicherstellen zu können, dass auch bei Krankheit oder Urlaub einzelner Mitarbeiter stets ein kompetenter Ansprechpartner erreicht wird.
  • Im DN sind die folgenden Attribute zulässig; in eckigen Klammern angegebene Attribute können weggelassen werden, Argumente in spitzen Klammern müssen entsprechend ersetzt werden:
    • C=DE,
    • ST=Baden-Wuerttemberg,
    • L=Karlsruhe,
    • O=Karlsruhe Institute of Technology,
    • [OU=<Abteilung, Institut, Organisationseinheit etc.>],
    • CN=<Servername (FQHN)>
  • Die verwendete Schlüssellänge muss mindestens 2048 Bit betragen; derzeit werden Schlüssellängen von 2048 Bit gemeinhin als hinreichend sicher angesehen. Empfohlen wird eine Schlüssellänge von 4096 Bit, wenn möglich.