SSL/TLS/SMIME-Zertifikate der Otto-von-Guericke-Universität Magdeburg

Dieser Service (Teilnehmerservice TS) dient der Erstellung elektronischer Zertifikate (z.B. EMAIL-SMIME, Webserver-HTTPS, GRID) für Mitglieder der Otto-von-Guericke-Universität Magdeburg nach den Richtlinien der Zertifizierungsinstanz des Vereins zur Förderung des Deutschen Forschungsnetzes e.V. (www.pki.dfn.de).

Achtung! Zertifikate können nur für der OvGU gehörenden Domains (ovgu.de und uni-magdeburg.de) ausgestellt werden und müssen der universitären Forschung dienen. Nutzer und Serverzertifikate für das Niveau Global der DFN-PCA beantragen Sie bitte auf einer der folgenden verlinkten Webseiten:

  • ACHTUNG! folgende Antrags-Weblinks ändert sich etwa jährlich, benutzen Sie bitte diese Webseite als Einstieg/Bookmark
  • ab 2022-10 Server-Zertifikate per CSR-Request via Geant/Sectigo und AAI-Anmeldung
  • ab 2023-08 persönliche Zertifikate via Geant/Sectigo
    • Vorraussetzung: Ausweiskontrolle (einmalig, s.o.), sonst Fehler: "You are not allowed to self enroll."
      • URZ: G26-036 J. Schulenburg Tel.58408, oder Lilienblum/Kuhfahl/Nykolaichuk
      • K2: G09-414 A.Grahn Tel.51076
      • FMA: G02-08 A.Kaina Tel.58648
      • FIN: G29-322 T.Schwarzer Tel.52837
      • FME, medizin. Fak., MRZ H17/203 Tel.15724 F.Franke/R.Boehm
    • Kurzanleitung:
      • Anmeldung bei Geant/Sectigo via OVGU-Shibboleth
      • "Choose Your Institution": Otto-von-Guericke-University Magdeburg ...
      • "Certificate Profile": "GEANT Personal Certificate"
      • "Term": 730 days
      • "Enrollment Method": "CSR" (sicherer) oder "Key Generation" (einfacher)
        • bei "CSR" muss das Schlüsselpaar und der CSR-Request separat auf eigenem Rechner erzeugt werden und der CSR-Request im nächsten Schritt hochgeladen werden
        • bei "Key Generation" wird das Schlüsselpaar automatisch auf dem Sectigo-Server erzeugt (potentiell unsicher) und anschließend als Download bereitgestellt
      • EULA lesen und Häckchen für Einverständnis setzen (ACHTUNG: Vertrag pro Enduser mit internationaler Firma Sectigo, Gerichtsstand GB, Stand: Jun2023)
      • Submit (usw. ;))
    • Rechnen Sie bitte mit wöchentlichen Aenderungen oder Störungen an der Sectigo-Software.
  • ab 2023-08 persönliche Zertifikate und Server-Zertifikate der DFN-Community
    • Alternative zu Sectigo, aber das DFN-Community-Root-Zertifikat ist nicht(!) bei Betriebssystemen und Browsern verankert, händischer Import nötig (Link unten), unabhängig, zuverlässig, papierlos, längere Laufzeiten (5J)
    • Antrag via DFN-Community-OVGU
    • Hinweis: auch bei Upload eines CSR-Requests kommt die überfüssige Frage nach einem Passwort für die Antragsdatei, bevor der PDF-Antrag mit dem Fingerprint generiert wird
    • wichtig: PDF-Antrag per EMAIL/Hauspost an URZ: G26-036 J. Schulenburg Tel.58408 oder E. Lilienblum
    • Root-Zertifikat für Browser-Import: DFN-Community-Root-Zertifikat

Erzeugen eines CSR-Requests mit OpenSSL und Test des Zertifikates (ab 2007)

Dies ist eine minimale rudimentaere Anleitung. Im Web finden Sie u.U. bessere zu Ihrer Anwendung passende Anleitungen. Generierung und Hochladen des CSR-Antrags ist sicherer als die von Anbietern oft angebotene Schlüsselgenerierung im Browser (Sicherheit kostet).

 1) Lesen Sie Policy "DFN-Community" der www.pki.dfn.de
 2) Schluessel erzeugen, falls nicht bereits vorhanden
    openssl genrsa -out user.key 4096  # linux-manual: man genrsa
    # -rand ~/.gnupg/random_seed wenn moeglich (bessere Zufallszahl) 
    # -des3 nur fuer verschluesselten Key (Passphrase benoetigt)
    # alte Schluessel und CSRs koennen ggf. wiederverwendet werden
 3) Certificationrequest generieren (PKCS#10-Zertifikatantrag), falls nicht bereits vorhanden
    openssl req -new -out user.csr -key user.key \
    -subj "/GN=Max/SN=Mustermann/CN=Max Mustermann/emailAddress=max.\
mustermann@ovgu.de/OU=Abteilung/O=Otto-von-Guericke-Universitaet Magdeburg/C=DE"
    # keine Umlaute verwenden! (ä=ae,ö=oe,...)
    # Gruppen und Pseudonyme muessen mit CN "GRP: ","PN: ", "GRP - " oder "PN - " beginnen
# Anm: GRP/PN-Zertifikate koennen nur bei DFN-Community beantragt werden
# Server: -subj "/CN=foo1.ovgu.de/O=Otto-von-Guericke-Universitaet Magdeburg/C=DE" # optional alternative Server-Namen: (zugefuegt 2023-07) # since OpenSSL 1.1.1 -addext "subjectAltName = DNS:foo1.ovgu.de, DNS:foo2.ovgu.de" # bei Usern DN.CN=Titel Vorname Name (nur wie im Ausweis! ä=ae usw.) # - challenge.pwd=xxxx openssl req -noout -text -verify -in user.csr # ggf. altes CSR pruefen # Fingerprint notieren openssl req -noout -modulus -in user.csr | openssl sha1 -c 4) Zetifikatsantrag einreichen (.csr,.req oder .pem) # neu2017: Online-Antrag (Links s.o.) ausfuellen und ausdrucken. # neu2022: Online-Antrag (Links s.o.) ausfuellen Zertifizierung durch die CA (CSR zu CRT/P7B/PKCS#7) # user.crt speichern (ggf. combined KEY+CRT as PKCS#12) 5) Zertifikat (.crt oder .pem) pruefen und einspielen, z.B: openssl x509 -noout -text -in user.crt # show cert-content # fuer SSL-Server (siehe ssl.conf SSLCertificateFile) export CFG=/usr/local/apache/conf # FC6: /etc/httpd/conf.d/ cp user.key $CFG/ssl.key/server.key cp user.pem $CFG/ssl.crt/server.crt # von CA-signiert ggf. CA-Kette anhaengen ### CentOS-6.4: see /etc/sysconfig/httpd + /etc/httpd/conf.d/ssl.conf cp user.key /etc/pki/tls/private/localhost.key cp user.pem /etc/pki/tls/certs/localhost.crt # copy chain to /etc/pki/tls/certs/server-chain.crt # Datei-Zugriffsrechte fuer httpd beachten! # Wenn abweichend, bitte EMAIL mit Korrektur an mich # fuer Nutzerzertifikate (entsprechend Anwendung/App) # ToDo: minimal encrypt/decrypt/signatur von Files mit openssl # ToDo: replace Apache by universal stunnel-Anleitung 6) Webserver mit Zertifikat nach Restart testen openssl s_client -connect www.meinserver.de:443 -showcerts # es muss die gesamte Zertifikatskette angezeigt werden # die Zertifikatskette kann meist an das Zertifikat gehaengt werden

How-to make better security in short (since jabber.ru-hack 2023)

SSL/TLS is based on knowing the correct pubkey. Certificates may help you to get the correct pubkey on first SSL/TLS connect. Treating every SSL/TLS connect as a first connect, is a design flaw (ff91). Use a pubkey-checker plugin to fix this flaw, for example "certificate watch" - with pubkey-check only configured. For the pubkey owner: use the old keypair for a new cert request.

Aktuelles+Historie:

  • 2023-10 ACHTUNG: der jabber.ru-Hack hat gezeigt, dass Zertifikatsketten nicht verlaesslich sind, checken Sie, ob der Public-Key Ihnen bekannt ist (FF, Schlosssymbol, mehr Infos "have I visited this ..." zaehlt nur die URL und ignoriert das Zertifikat! Umstaendliche haendische Pruefung FingerPrint noetig oder "certificate watch" plugin)
  • 2023-04 Umstellung Nutzer-Zertifikate auf GEANT-TCS (signiert vom Anbieter Sectigo mit GEANT-Signatur im Auftrag von GEANT, i.d.R. privat key auf Sectigo-Server ausserhalb OvGU generiert, papierlos)
  • 2022-05 bis 2022-12: Umstellung Serverzertifikate on DFN-PKI (DE) zu Geant-TCS (EU)
  • 2021-07: Anleitung/Hilfe zu Anwendungen (geplant)
  • 2021-07: Zeitstempeldienst des DFN
  • Nov2017: Abschaltung Uni-CA, Nutzung DFN-CA, Umbenennung Registration Authority (RA) in Teilnehmerservice der OVGU
  • Jan2017: Zertifikatskette G2(SHA2 bis max. Feb2031), Rootzertifikat zum Import: .crt, .der
  • Jan2017: Neues Root-Zertifikats G2 mit SHA2, siehe faq-umstellung-sha-2 der DFN-PKI. Anmerkung: SHA1 im Root-Zertifikat cryptologisch bedeutungslos.
  • Mai2014: SHA2-SSL/TLS-Zertifikatskette pki.pca.dfn.de bis max. Jul2019, Rootzertifikat zum Import: .crt, .der
  • Apr2014: Etwa 7 vom openssl-1.0.1-Bug betroffende Systeme, Zertifikate getauscht.
  • Jan2010: Stilllegung der PGP-DFN-CA wegen mangelnder Nachfrage (3 Unis)
  • Jul2009: Aufnahme Telekom Root Zertifikat in FireFox-3.5, Root der DFN-PCA
  • Sep2008: DFN-PCA von Apple-Systemen unterstützt
  • Feb2007: ausgelagerte Zertifizierungsstelle (CA, Key bei DFN-PKI) und Registrierungsstelle (RA) für Sicherheitslevel Global in Betrieb genommen. Das Wurzelzertifikat (Root) ist die Deutsche Telekom Root CA 2 G01 und wird Bestandteil des IE-7 sein.
  • Feb2007: EuGrid-RA in Betrieb genommen.
  • Apr2006: Neuer PGP Zertifizierungsschlüssel der CA-OvGUM
  • URZ-Kurs vom 14.04.2004 zur EMAIL-Verschlüsselung mit GnuPG
  • Feb2004: Start CA OvG-Universität Magdeburg, lokaler Key

Author: Jörg Schulenburg 2004-2023 (except for egocms frame), please disable JScript for more security and privacy, "No-Style/No-CSS"-compatible

Letzte Änderung: 10.01.2024 - Ansprechpartner: Webmaster