Beantragen eines Server-Zertifikates

Starten Sie den Web-Browser Ihrer Wahl. Im vorliegenden Beispiel wird Mozilla Firefox verwendet. Das Vorgehen ist bei allen Browsern gleich.

Vor der Beantragung eines Server-Zertifikates müssen Sie auf dem betreffenden Server einen Certificate Signing Request (CSR) erzeugen. Wie Sie das bewerkstelligen, können Sie in anderen Dokumenten nachlesen:

  • Generieren und Installieren eines Serverzertifikates

Dem CSR geht die Generierung eines Schlüsselpaares voraus. Der dabei erstellte öffentliche Schlüssel wird zusammen mit den Angaben über die Identität des Servers in den CSR eingebaut. Der CSR muss anschließend bei der Antragstellung an den WHZ CA Server übermittelt werden.

Die Identitiät des Servers wird mit Hilfe eines DN (distinguished name) festgelegt, der aus mehreren Elementen zusammengesetzt ist:

 

ElementBedeutungWertKommentarBeispiel
(Mailserver des RZ)
CLändercodeDEDieser Wert ist obligatorischDE
OOrganisationWestsaechsische Hochschule ZwickauDieser Wert ist obligatorischWestsaechsische Hochschule Zwickau
OUOrganisationseinheitName der EinrichtungDieser Wert ist optional, sie sollten aber hier den Namen Ihrer Einrichtung angebenZKI
OUOrganisationseinheitName der Abteilung o.ä.Es können weitere OUs angegeben werden. Normalerweise wird das jedoch unterbleiben.
CNName des ServersInternetadresseHier geben Sie die textuelle, nicht die numerische Internetadresse des Servers anwww.fh-zwickau.de

Der eindeutige Name sieht also für unser Beispiel so aus:

DN: CN=www.fh-zwickau.de,OU=ZKI,O=Westsaechsische Hochschule Zwickau,C=DE

Außerdem ist eine E-Mail-Adresse anzugeben, die gültig und funktional (also nicht personengebunden) sein sollte, z.B. des Server-Administrators (Beispiel: webmaster@fh-zwickau.de).

Nachdem Sie sich über die Zertifikatsparameter im Klaren sind, rufen Sie die Webseite der WHZ CA auf: https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2&RA_ID=2900

Die Arbeit mit dem Web-Interface der WHZ CA

Wählen Sie auf der Karteikarte Nutzer den Punkt Beantragen eines Zertifikates und auf dieser Seite den Unterpunkt Zertifikatantrag für Server. Auf der nun folgenden Seite füllen Sie die Eingabefelder sinngemäß nach dem angezeigten Muster aus.

  • Zunächst durchsuchen Sie Ihren Speicherplatz nach der abgespeicherten CSR-Datei, die Sie mit Hilfe der Server-Software haben erzeugen lassen. Im Eingabefeld wird der volle Pfadname der Date für den späteren Upload eingetragen.
  • Anschließend wählen Sie das Zertifikatsprofil aus. Falls Sie kein für Ihre Zwecke dezidiertes Profil finden, wählen Sie das User-Profil.
  • Nun folgen die Nutzerangaben mit
    •  dem vollem Namen einer Ansprechperson,
    • der Mail-Adresse dieser Ansprechperson,
    • der Abteilung, die das Zertifikat benötigt und
    • einer PIN, die zum späteren Verwalten des Zertifikates über die vorliegenden Webschnittstelle benötigt wird.
      (doppelte Eingabe gegen Vertippen)
  • Schließlich anerkennen Sie die Zertifizierungsrichtlinien (erforderlich)
    (ein Klick auf den Link unter "Zertifizierungsrichtlinien" führt Sie zu den Richtliniendokumenten der WHZ CA)

und

  • stimmen der Veröffentlichung des Zertifikates zu (erforderlich).

Bitte verwenden sie keine nationalen Sonderzeichen. Der erlaubte Zeichenvorrat ist im Hauptdokument beschrieben.

Nachdem Sie die Schaltfläche Weiter angeklickt haben, werden Ihnen alle Daten nochmals angezeigt. Sie haben jetzt die Möglichkeit, mit der Schaltfläche Ändern auf die vorige Seite zurückzukehren oder mit Bestätigen den Antrag als gültig abzusenden. 

Die nächste Seite präsentiert Ihnen ein Antragsformular als PDF-Datei, das Sie ausdrucken, fertig ausfüllen und der Registrierungsstelle persönlich vorlegen müssen. 

Nach dem Ausdruck können Sie die Seite mit dem Formular schließen. Die Online-Beantragung ist durchgeführt. Jetzt müssen Sie sich nur noch zur Registrierungsstelle begeben um sich auszuweisen. Bitte vereinbaren Sie einen Termin!

Die Registrierungsstelle benötigt 

  • das vollständig ausgefüllte und unterschriebene Antragsformular,
  • Ihren gültigen Personalausweis oder Reisepass sowie
  • falls Sie nicht Nutzer/Nutzerin des Zentrum für Kommunikationstechnik und Informationsverarbeitung sind, ein amtliches Dokument, das Sie als Angehörigen der Westsäsischen Hochschule Zwickau ausweist.
    Beispiele: Studierendenausweis, Schriftliche Bescheinigung des Abteilungsleiters.
  • eine schriftliche Bestätigung Ihres Institutes, dass Sie zur Verwaltung des angegebenen Servers berechtigt sind.
    (kann selbstverständlich mit der Bestätigung zum vorigen Punkt zusammengefasst werden)

Falls dem Antrag nichts entgegensteht, werden Sie innerhalb weniger Minuten nach der Genehmigung durch die Registrierungsstelle das Zertifikat als Attachement an die persönliche Mailadresse zugeschickt bekommen.

Installieren Sie anschließend das Zertifikat an dem dafür bestimmten Ort auf dem Server.