Betriebsende DFN-PKI für Server-Zertifikate

Die DFN-PKI Global stellt nach dem 30.12.2022 keine Serverzertifikate mehr aus.

Wir empfehlen allen betroffenen Dienstebetreibern zeitnah auf Zertifikate von Let's Encrypt umzusteigen und den Prozess dafür zu automatisieren.

Wenn Sie sich dafür noch Zeit bis Ende 2023 „kaufen“ wollen beantragen Sie bitte bis zum 15.12.2022 noch Zertifikate nach dem alten Verfahren.

Mit acme4netvs existiert ein Plugin für ACME-Clients, mit dem alle gängigen Diensteszenarien am KIT abgebildet werden können. Dokumentation ist hier zu finden, für Fragen und Diskussionen gibt's eine Community-Gruppe im KIT-Matrix.

Falls Let's Encrypt mit DNS-01-Challenge für Sie nicht funktioniert (bspw. weil Sie eine nicht-global-sichbare DNS-Zonendelegation nutzen) können Sie sich per e-Mail an uns wenden.

Anleitungen zur Nutzung von Serverzertifikaten der KIT-CA

Voraussetzung zur Beantragung von Serverzertifikaten ist der Besitz eines gültigen von der KIT-CA ausgestellten Nutzerzertifikats.

Da damit bereits eine Identifizierung sichergestellt ist, ist es nicht notwendig, persönlich bei einer Registrierungsstelle zu erscheinen, Sie müssen die Teilnehmer-Erklärung aber dennoch im Original einer der Registrierungsstellen der KIT-CA zukommen lassen. Dies ist beispielsweise per Hauspost an »KIT-CA, SCC, Campus Süd« möglich.

Zur Beantragung von Benutzer- und Gruppenzertifikaten beachten Sie bitte die dazugehörigen Anleitungen.

Anleitungen zu Serverzertifikaten:

Welche Software zur Schlüsselerzeugung und Antragsgenerierung genutzt wird, hängt vom jeweiligen Anwendungsfall bzw. der Zielsoftware ab. Java-Software nutzt oft einen java-spezifischen Keystore, hier bietet sich keytool an. GnuTLS und OpenSSL funktionieren auf allen Systemen gleich und speichern alle Daten transparent in Dateien. certutil schreibt direkt in den Windows-Zertifikatsspeicher, funktioniert aber nur dort.

Allgemeines Vorgehen und Hinweise:

Die KIT-CA wird in Form einer Online-CA im Auftrag des KIT durch den DFN-Verein betrieben. Zertifikate werden direkt mittels einer Webschnittstelle beantragt, die durch den DFN-Verein zur Verfügung gestellt wird. Damit ein beantragtes Serverzertifikat ausgestellt werden kann, ist es notwendig, dass Sie ein gültiges Personenzertifikat der KIT-CA besitzen sowie das von der Webschnittstelle generierte Antragsformular im Original ausgefüllt in Papierform einer der Registrierungsstellen (RA) des KIT zu kommen zu lassen. Danach wird von den Mitarbeitern der entsprechenden RA der Zertifikatantrag freigeschaltet; die KIT-CA stellt daraufhin das beantragte Zertifikat aus.

Um ein Serverzertifikat beantragen zu können, muss zunächst ein entsprechender Request generiert werden, der mit Hilfe des Webinterfaces an die KIT-CA geschickt werden kann. Unabhängig von der verwendeten Software sind einige Rahmenbedingungen einzuhalten, die in den Policies der DFN-PKI und der KIT-CA näher beschrieben sind. Die wichtigsten einzuhaltenden Eckpunkte sind:

  • Der DN muss mindestens die Zeichenketten C=DE, ST=Baden-Wuerttemberg, L=Karlsruhe und O=Karlsruhe Institute of Technology enthalten.
  • Der Name des Servers muss ein vollqualifizierter Rechnername (Fully-qualified host name, FQHN) sein, der auf eine der folgenden Domains enden:
    • fzk.de
    • kit.edu
    • uka.de oder
    • uni-karlsruhe.de
  • Neben dem Namen des Servers muss im Zertifikatantrag unter Angaben zur Person eine E-Mail-Adresse angegeben sein, mit der ein verantwortlicher Administrator erreicht werden kann. Es bietet sich an, eine Gruppenmailingliste oder einen Mailverteiler anzugeben, um elegant sicherstellen zu können, dass auch bei Krankheit oder Urlaub einzelner Mitarbeiter stets ein kompetenter Ansprechpartner erreicht wird.
  • Im DN sind die folgenden Attribute zulässig; in eckigen Klammern angegebene Attribute können weggelassen werden, Argumente in spitzen Klammern müssen entsprechend ersetzt werden:
    • C=DE,
    • ST=Baden-Wuerttemberg,
    • L=Karlsruhe,
    • O=Karlsruhe Institute of Technology,
    • [OU=<Abteilung, Institut, Organisationseinheit etc.>],
    • CN=<Servername (FQHN)>
  • Die verwendete Schlüssellänge muss mindestens 2048 Bit betragen; derzeit werden Schlüssellängen von 2048 Bit gemeinhin als hinreichend sicher angesehen. Empfohlen wird eine Schlüssellänge von 4096 Bit, wenn möglich.