Wichtige Information zum Zertifikatsbetrieb

Unerwarteterweise wird sich der Dienstleister der Zertifikatsinfrastruktur (PKI) aller Voraussicht nach ab Januar 2025 ändern.

Diese Tatsache betrifft nicht nur alle deutschen Hochschulen, sondern alle teilnehmenden Europäischen gleichermaßen und ist von uns nicht beeinflussbar.

Aufgrund der Kürze der Vorbereitungszeit ist es möglich, dass die Versorgung mit SSL-Serverzertifikaten und S/Mime-Clientzertifikaten nicht durchgehend aufrechterhalten werden kann.

Um auf einen möglichen Zeitraum, im dem keine Zertifikate ausgestellt werden können, vorbereitet zu sein, bitten wir Sie die Server-Zertifikate, die in der nächsten Zeit auslaufen (wir empfehlen bis einschließlich März 2025), bereits jetzt vorsorglich zu erneuern. Mit Blick auf die für uns alle anstehende Weihnachtsurlaubszeit empfehlen wir eine zeitnahe Beantragung bis spätestens 15.12.2024.

Dadurch entzerren Sie die Zeit, in der wir uns auf den neuen Anbieter einstellen müssen, um Ihnen die entsprechenden Beantragungsmöglichkeiten wieder bereitstellen zu können.

Sollten Sie die ACME-Beantragungsmethode verwenden, so empfehlen wir das manuelle Anstoßen der Zertifikatserneuerung unabhängig von der automatischen Erneuerung vorzunehmen.

Sofern Sie Probleme mit der Identifikation der betroffenen Zertifikate oder sonstige Fragen haben, können Sie sich gerne bei uns melden.

Ihr PKI-Team

Kontakt:
[HTW] zertserv@htwsaar.de
[UdS]  ca@hiz-saarland.de

Beantragung von Zertifikaten

Die Zertifikatsinfrastruktur wird über den Dienstleister Sectigo durch den DFN zur Verfügung gestellt Nachfolgend finden Sie  den Ablauf der Zertifikatsbeantragung.

  • Die Beantragung von Serverzertifikaten läuft papierlos ab. Dafür erfordert das Beantragungsportal jedoch nun einen Login mit einer gültigen UdS/HTW-Kennung. Das Beantragungsportal finden Sie unter diesem Link:

    >>> Serverzertifikat beantragen <<<

    Eine bebilderte Anleitung finden Sie unter:

    Anleitung Beantragung SSL-Zertifikate
     

  • Zertifikate mit einer Schlüssellange in RSA von 2048 Bit sind nicht mehr “State of the Art”. Diese werden nur noch in Ausnahmefällen und mit Begründung bewilligt. Das gilt auch für bereits mit Auto-Renewal bewilligte Zertifikate.  Bitte stellen Sie Anträge nur noch einer mit einer Schlüssellänge von 4096 Bit (RSA) oder nutzen Sie die neuen Elliptic Curve (EC) Zertifikate. Eine Anleitung für EC finden Sie unter anderem hier: https://www.sectigo.com/knowledge-base/detail/ECC-CSR-Generation-Using-OpenSSL-1527076086315/kA01N000000zFKR

  • Bitte beachten Sie, dass sich die Zertifikatskette zur Verifikation der Zertifikate geändert hat. Sie müssen die Kette  in Ihrer Anwendung ersetzen, um die Zertifikate aus der neuen CA reibungslos verwenden zu können. Nach der Beantragung eines Zertifikates erhalten Sie eine E-Mail, in der auch die Zertifikatskette (je nach Anwendung z.B. Apache,Nginx,IIS) herunterladbar ist.
     
  • Innerhalb des neuen Ausstellungsverfahren wird nicht mehr zwischen verschiedenen Profilen (VPN-, Web-, LDAP-Server etc unterschieden). Die neuen Zertifikate sind generell für alle Serverdienste geeignet.
     

  • Um ein persönliches (S/MIME) Zertifikat zu erhalten, senden Sie uns bitte einen formlosen Antrag mit der Bitte um Ausstellungen eines persönlichen S/MIME-Zertifikates von Ihrer persönlichen Dienst-E-Mail-Adresse aus. Geben Sie dabei bitte Ihren Namen an. Nach Überprüfung der Daten wird Ihnen dann eine E-Mail-Einladung zugeschickt, über die Sie Ihre Zertifikatsdatei abrufen können. Zur schnellstmöglichen Bearbeitiung senden Sie die Mail bitte an:

    • zertserv@htwsaar.de  (HTW)

    • ca@hiz-saarland.de (UdS)

 

Kontakt:
Hochschul-IT-Zentrum
Universität des Saarlandes
UdS-CA
Standort Meerwiesertalweg
Meerwiesertalweg 15
66123 Saarbrücken
Tel. +49 (0)681 302 4246
Fax +49 (0)681 302 4462
email: ca(at)hiz-saarland.de

 

Registrierungsstelle (RA):
Eine Registrierungsstelle überprüft die Gültigkeit der Daten im Antrag. Hierzu werden die Daten auf der Teilnehmer-Erklärung mit den Daten des elektronisch erstellten Requests abgeglichen. Anschließend wird die Identität des Antragstellers überprüft, in dem Name, Unterschrift, Bild, Gültigkeit und Nummer des vorgelegten Ausweises abgeglichen werden. Sind die Angaben korrekt, dann wird die RA dies elektronisch bestätigen und danach das Zertifikat durch die CA signiert.

Veröffentlichung ausgestellter Zertifikate:
Zu den Aufgaben einer CA gehört die Veröffentlichung des Zertifikats bzw. des signierten Public-Keys. Um eine Nachricht zu verschlüsseln ist der Public-Key des Kommunikationspartners erforderlich. Die UdS-CA ermöglicht die Suche nach Zertifikaten über das Attribut Email-Adresse auf den öffentlichen Webseiten der UdS-CA.
Zertifikat-Sperrliste (CRL):
In der CRL sind Zertifikate vermerkt, die vorzeitig widerrufen bzw. gesperrt wurden und somit ungültig sind. Die CRL muss ausgewertet werden um eine Aussage über die Gültigkeit eines Zertifikats machen zu können. Zu diesem Zweck sind in jedem Zertifikat zwei sog. "CRL Distribution Points" vermerkt, d. h. zwei URLs an denen die CRL zu finden ist. Wertet die Anwendung diese Angaben aus, steht immer die aktuelle Sperrliste zur Verfügung. Sobald ein gesperrtes Zertifikat verwendet wird, wird zumindest eine Warnung ausgegeben. Kann eine Anwendung die "CRL Distribution Points" nicht auswerten, so muss diese Sperrliste aus dem Internet geladen und in die Anwendung importiert werden: Zertifikat-Sperrliste der UdS-CA.

 

Bei Fragen und Problemen

wenden Sie sich bitte an

Mitteilung von Änderungswünschen

ca(at)hiz-saarland.de