Serverzertifikate
Beantragen eines Serverzertifikats
Mit einem TLS-Zertifikat bestätigt eine vertrauenswürdige Zertifizierungsstelle (CA) die Identität Ihres Dienstes. Im Gegensatz zu selbstsignierten Zertifikaten ermöglicht dies den Nutzern, die Authentizität der aufgerufenen Domain zweifelsfrei zu überprüfen. Dadurch wird sichergestellt, dass die Kommunikation verschlüsselt abläuft und Angriffsvektoren wie Man-in-the-Middle-Angriffe effektiv verhindert werden. Da das Zertifikat von einer öffentlich vertrauten Stelle stammt, werden dem Besucher im Browser zudem keine Sicherheitswarnungen mehr angezeigt.
Im Rahmen der UNIWUE-CA können SSL-Server-Zertifikate nur für Server der Universität Würzburg erstellt werden. Der DNS-Name des Dienstes muss auf *.uni-wuerzburg.de enden.
Ein zentraler Aspekt bei der Nutzung von TLS-Zertifikaten ist deren Gültigkeitsdauer. Aus Sicherheitsgründen treiben das CA/Browser Forum und die großen Browserhersteller eine drastische Verkürzung der maximalen Zertifikatslaufzeiten voran. Während öffentliche TLS-Zertifikate bis vor kurzem noch eine maximale Gültigkeit von 398 Tagen (rund 13 Monaten) aufwiesen, wird dieser Zeitraum in einem stufenweisen Prozess erheblich reduziert:
Seit März 2026: Maximal 200 Tage
Ab März 2027: Maximal 100 Tage
Ab März 2029: Maximal 47 Tage
Ziel dieser Verkürzung ist es, die Sicherheit im Internet zu erhöhen: Kompromittierte Schlüssel werden schneller unbrauchbar und neue kryptografische Standards lassen sich zügiger durchsetzen.
Zur Bearbeitung eines Zertifikatantrags muss der Registrierungsstelle ein Akkreditierungsschreiben des IT-Bereichsmanagers des jeweiligen Fachbereichs/der zentralen Einrichtung vorliegen. Vor der Erteilung des Zertifikats muss die Identität des Zertifikatnehmers durch die Registrierungsstelle festgestellt werden.
Schritte zum Serverzertifikat:
1. Erzeugen eines Schlüsselpaares und Erstellen eines Zertifikatantrags
Die Erzeugung eines Schlüsselpaares und die Erstellung des Zertifikatsantrags (Certificate Signing Request, CSR) kann mit den Tools der jeweiligen Serversoftware oder mit OpenSSL durchgeführt werden. Bei der Verwendung von OpenSSL verwenden Sie bitte die angepasste openssl.config. (Zuletzt aktualisiert: 13.01.2022)
Dabei sind folgende Werte zu beachten:
- Der private Schlüssel sollte eine Länge von mindestens 4096 Bit haben.
- Der bei der Erstellung des CSR anzugebende eindeutige Name (Distinguished Name, DN) muss folgende Teile enthalten:
C=DE
L=Wuerzburg
ST=Bayern
O=Julius-Maximilians-Universitaet Wuerzburg
CN=<vollständiger DNS-Name des Serverdienstes>
Zu beachten: Aufgrund von Vorgaben des CA/Browser-Forums darf bei neuen Serverzertifikaten kein OU-Attribut mehr angegeben werden. Unsere openssl.config wurde entsprechend angepasst.
Beispiel: Erstellung eines CSR für den Dienst "www.rz.uni-wuerzburg.de" mit OpenSSL:
$ openssl req -config openssl.config -sha256 -newkey rsa:4096 -nodes -keyout www_rz.key -out www_rz.pem
Generating a 4096 bit RSA private key
..................+++
...................................+++
writing new private key to 'www_rz.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
Locality Name (eg, city) [Wuerzburg]:
State or Province Name (full name) [Bayern]:
Organization Name (eg, company) [Julius-Maximilians-Universitaet Wuerzburg]:
Common Name (eg, YOUR name) []:www.rz.uni-wuerzburg.de
Da Serverdienste i.d.R. ohne manuelles Eingreifen des Administrators automatisch starten sollen, wurde im Beispiel durch die Option -nodes verhindert, dass OpenSSL den privaten Schlüssel mit einem Passwort sichert. Die Datei www_rz.key muss daher sorgfältig vor unbefugtem Zugriff geschützt werden!
Die Datei www_rz.pem enthält den für den nächsten Schritt benötigten Zertifikatsantrag. Sie können die Werte des Antrags mit folgendem Kommando überprfen:
openssl req -noout -text -in www_rz.pem
2. Beantragen des Zertifikats bei der UNIWUE-CA
Seit dem 10.01.2025 stellt die GEANT-TCS keine Serverzertifikate mehr über Sectigo aus. Neue bzw. zu verlängernde Zertifikate können ab dem 10.01.2025 nur über den neuen Anbieter Harica und einen geänderten Beantragungsweg bezogen werden.
Bis zum Start eines neuen Service-Portals bitten wir Sie, Ihren Zertifikatsantrag/CSR-Datei per Mail an ca@uni-wuerzburg.de zu schicken. Bitte geben Sie auch eine Funktionsmailadresse an, die fuer Mails zum beantragten Zertifikat genutzt werden kann. Sollten Sie weitere Hostnamen im Zertifikat benötigen teilen Sie uns diese bitte ebenfalls mit. Wir setzen uns danach mit Ihnen in Verbindung.
3. Einpflegen des Zertifikats in den Server
Sobald Sie den Link zum erstellten Zertifikat per Mail erhalten haben, können Sie dieses samt dem privaten Schlüssel und der Zertifizierungskette in die entsprechende Serveranwendung integrieren.
Beispiele für gebräuchliche Serverdienste werden im Laufe der Zeit hier aufgelistet werden.
