Zertifikate
Wie funktionieren Zertifikate?
Wenn Sie mit einem Web- oder Mailserver eine verschlüsselte Verbindung aufbauen, so schickt Ihnen dieser Server einen Schlüssel, mit dem die nachfolgende Kommunikation verschlüsselt wird. Zertifikate sind digitale Ausweisdokumente. Das bedeutet, dass eine vertrauenswürdige Instanz die Identität einer Person oder eines Computers bestätigt. Moderne Webbrowser überprüfen solche Zertifikate auf deren Inhalt und warnen vor dem Akzeptieren von unbekannten Zertifikaten.
Um sicherzugehen, dass der Server, den Sie kontaktieren, auch wirklich der Richtige ist, wird das Zertifikat nicht nur von der Einrichtung, die Sie gerade ansprechen, sondern zusätzlich von einer vertrauenswürdigen Instanz, der Certificate Authority (CA) unterschrieben. Das Zertifikat ist also vergleichbar mit einem Personalausweis. Dieser wird nicht allein durch die eigene Unterschrift, sondern erst durch Stempel und Siegel der Ausweisbehörde zu einem amtlichen Dokument. Für die Technische Hochschule Mannheim erbringt nun Harica das Signieren der Zertifikate.
Zertifikate für E-Mailverschlüsselung finden Sie S/MIME Zertifikate
Server-Zertifikate
Beantragung von Zertifikaten
Beachten Sie den Ablauf zur Beantragung eine th-mannheim Zertifikats für Server:
- Ticket erstellen support.cit@hs-mannheim.de
- Anfrage auf den neuen DNS Namen mit der Endung th-mannheim.de per Ticketing
- Wenn DNS Eintrag erstellt wurden und Sie hierfür eine Bestätigung haben, können Sie hier fortsetzen!
Nicht im Vorfeld angekündigte Anträge werden NICHT bearbeitet.
Wer darf beantragen?
Beantragen kann jeder Kolleg:in der TH Mannheim (Mitarbeitende, Professoren), wenn folgende Bedingungen erfüllt sind:
- Der/Die Dekan:in hat dem Betrieb des Serverdienstes zugestimmt
- Der Netzwerkbeauftragte der Fakultät/Einrichtung ist informiert und hat eine IP-Adresse vergeben
- Der Serverdienst wird administriert und aktuell gehalten.
Nur Beschäftigte (Professoren/Mitarbeitende) sind berechtigt! Studierende, Kooperationsmitglieder, Lehrbeauftragte etc. sind ausgeschlossen.
Kosten
Achtung: Zu jedem beauftragten Zertifikat sind die anfallenden Kosten genannt. In dieser Anleitung beschrieben sind nur die über den DFN bei HARICA lizenzierten und als "Free" (kostenlos) ausgezeichneten Produkte. Sofern Sie kostenpflichtige Produkte beauftragen, ist ein Support dazu durch die Campus IT nicht möglich. Sie werden im Laufe des Antragsprozesses zur Eingabe von Zahlungsinformationen (Kreditkarte) aufgefordert. Wir empfehlen dringend, einen solchen Vorgang zuerst mit uns und WRM abzusprechen.
In Browsern (Firefox, Chrome, …) wird in der URL-Leiste eine gesicherte verschlüsselte Verbindung i.d.R. mit einem Schloss-Symbol angezeigt. Durch Klicken auf das Schloss-Symbol können weitere Informationen zum Zertifikat angezeigt werden. In Mailprogrammen wird z.B. beim Erhalt einer signierten und/oder verschlüsselten Nachricht ein (Brief-)Siegel-Symbol angezeigt. Durch Klicken auf das (Brief-)Siegel-Symbol können weitere Informationen zum Zertifikat angezeigt werden.
Die Technische Hochschule Mannheim betreibt eine ausgelagerte CA. Das bedeutet, dass Sie direkt über eine Schnittstelle Zertifikatsanträge stellen können, die dann von uns und unserem Zertifikatsprovider bestätigt werden. Die neue Webschnittstelle läuft bei Harica. DFN realisiert diesen Service durch einen Anbieter, der durch eine Ausschreibung ermittelt wird. Derzeit handelt es sich dabei um die Firma Harica. Die Regeln, die bei der Nutzung dieser Zertifikate einzuhalten sind, sind in der Zertifikats-Policy von Harica festgeschrieben.
Die Campus IT betreibt hier eine Genehmigungsinstanz für die Ausstellung von Zertifikaten für den Dienstbetrieb. Die Ausstellung von X.509-Zertifikaten in einer "anerkannten" CA-Hierarchie (d.h. mit in Betriebssystemen bereits hinterlegten Root-CA-Zertifikaten) erfolgt nun über die "TCS" (Trusted Certificate Service), die das europäische Forschungsnetzwerk GÉANT über externe Dienstleister bezieht und dem DFN und seinen Mitgliedseinrichtungen bereitstellt.
Die Schritte zum Zertifikat
Aktuell ist es sehr umständlich Zertifikate zu generieren und es funktioniert auch nur über ein Webformular.
Achtung: Zu jedem beauftragten Zertifikat sind die anfallenden Kosten genannt. In dieser Anleitung beschrieben sind nur die über den DFN bei HARICA lizenzierten und als "Free" (kostenlos) ausgezeichneten Produkte. Sofern Sie kostenpflichtige Produkte beauftragen, ist ein Support dazu durch die Campus IT nicht möglich. Sie werden im Laufe des Antragsprozesses zur Eingabe von Zahlungsinformationen (Kreditkarte) aufgefordert.
1. Zertifikate für Server können Sie direkt beantragen, wenn Ihr System an der Technischen Hochschule Mannheim betrieben wird und der Betrieb in der Fakultät / Einrichtung mit dem Verantwortlichen (i.d.R: Dekan:inen) abgestimmt wurde.
Sie können weiterhin .hs-mannheim.de Zertifikate beantragen. Diese Möglichkeit lassen wir Ihnen für das nächste Jahr für Verlängerungen von Bestandsnamen bei Providern etc. Neue Zertifikate mit hs-mannheim.de legen wir nicht mehr an.
2. Dann informieren Sie uns per Ticketing über das gewünschte Zertifikat und den Domain-Namen. Der Server muss bereits über diesen Namen erreichbar sein. Wenn dies nicht der Fall ist, beantragen Sie bitte zuerst einen Domainnamen (DNS) - ebenfalls über Ticketing an support.cit@hs-mannheim.de.
3. Geben Sie uns per Ticket über Ihren Zertifikatswunsch Bescheid. Es reicht ein formloser Hinweis mit dem DNS Namen. Warten Sie auf unser GO.
4. Melden Sie sich auf der Webseite von Harica mit der Option “Academic Login” ein. Nutzen Sie Ihre zentralen Zugangsdaten. Bitte beachten Sie: Alle Request werden von uns geprüft. Es können nur dann Zertifikate bestätigt werde, wenn 1 bis 3 erfüllt sind. Schauen Sie sich die Bildstrecke an.
5. Wildcardzertifikate (*.hs-mannheim/*.th-mannheim) werden keine ausgestellt. Sie können aber mehrere Domainnamen angeben.
SSL-Zertifkate laufen nach einem (1) Jahr automatisch aus und können NICHT verlängert werden.
Mitglieder der Technischen Hochschule Mannheim können ab sofort Server-Zertifikate selbst beantragen. Gehen Sie hierzu wie folgt vor:
1. Beachten Sie den Genehmigungsprozess. Ihr Ticket zu diesem Antrag muss im Vorfeld bei uns eingehen! Sie müssen sich für die Beantragung auf dem Campus der Technischen Hochschule Mannheim befinden oder eine VPN Verbindung zur Technische Hochschule Mannheim haben.
2. Linux: Erzeugen Sie einen Certificate-Request (CSR). Hierzu muss OpenSSL auf dem System installiert sein.
- Öffnen Sie eine Serverkonsole.
- Geben Sie auf der Konsole ein: openssl req -newkey rsa:4096 -keyout <namefuerPrivateSchluesselDatei>.key -out <namefuerZertifikatsDatei>.csr
Beispiel: openssl req -newkey rsa:4096 -keyout meinschluessel.key -out Servercert_meinSystem.csr
meinschluessel.key ist der Name, in dem die Schlüsseldatei gespeichert wird
Servercert_meinSystem.csr bezeichnet den Namen des Zertifikates. Sinnvollerweise sollte das hier der Name des Servers sein - also beispielsweise meinserver.cit.th-mannheim.de.csr - Drücken Sie ENTER.
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase: GEBEN SIE IHR PASSWORT FÜR DAS KEYFILE EINDanach Eingabe der Daten für den Signing Request:
Country Name (2 letter code) [XX]:DE
State or Province Name (full name) []:Baden-Wuerttemberg
Locality Name (eg, city) [Default City]:Mannheim
Organization Name (eg, company) [Default Company Ltd]:Technische Hochschule Mannheim
Organizational Unit Name (eg, section) []:<IhreFakultät oder Einrichtung etc>
Common Name (eg, your name or your server's hostname) []:<DNSNamedesServersindemdasCertverwendetwird...xy.th-mannheim.de>
Email Address []: <IhreEmailAdresse>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Alternative - ohne erforderliche Eingaben - alles in einer Zeile:
openssl req -newkey rsa:4096 -keyout <domain>.th-mannheim.de-priv.key -out <domainname>.th-mannheim.de-cert.csr -subj '/C=DE/ST=Baden-Wuerttemberg/L=Mannheim/O=Technische Hochschule Mannheim/OU=<Ihre_Organisationseinheit>/CN=<domainname>.th-mannheim.de/emailAddress=<Ihre e-Mail Adresse>'
- In jedem Fall einzugeben sind die fett dargestellten Begriffe - Sie dürfen keine Umlaute verwenden. Sie geben zusätzlich an: Ihre Fakultät/Organisationseinheit, den Servername und Ihre E-Mailadresse
- Adressen außerhalb von th-mannheim.de können nicht validiert werden. Wir validieren auch keine Wildcard-Zertifikate.
- Die Datei mit der Endung .csr laden Sie sich herunter oder speichern diese so ab, dass Sie diese später in einem Browser hochladen können.
Sie benötigen entweder die Installation von openssl für Windows oder die Anwendung inetsrvmgr.exe (Windows-Server mit IIS). Sollten Sie openssl für Windows nutzen, dann ist das Vorgehen das Gleiche wie beim Linux-System.
Eine detaillierte Anleitung hierfür können wir Ihnen leider nicht bereitstellen, sie finden aber ausreichend Material im Netz.
Folgen Sie dann dieser Anleitung. Die fett gedruckten Daten sind 1:1 zu übernehmen!
Tragen Sie folgende Daten ein:
Gemeinsamer Name: <IhrZertifikatsname> Beispiel: meincert.th-mannheim.de
Organisation: Technische Hochschule Mannheim
Organisationseinheit: <IhreFakultät> Beispiel: Informatik
Ort: Mannheim
Bundesland: Baden-Wuerttemberg
Land: DE
- In jedem Fall einzugeben sind die fett dargestellten Begriffe. Sie geben zusätzlich an: Ihre Fakultät, den Servername und Ihre E-Mailadresse
- Adressen außerhalb von th-mannheim.de können nicht validiert werden. Wir validieren auch keine Wildcard-Zertifikate.
- Die erstellte Datei laden Sie sich herunter oder speichern diese so ab, dass Sie diese später in einem Browser hochladen können.
Ihr neues Zertifikat würde bei jedem Neustart des Webservers nach dem Passwort fragen. Enfernen Sie daher mit folgendem Befehl das Passwort aus der Keydatei.
openssl rsa -in <namedesKeyfiles>.key -out <neuerNamedesKeyfilesohnePasswort>.key
Beispiel:
openssl rsa -in meineKeydatei.key-out meineKeyDateiohnePasswort.key
Beides können Sie nach dem Anmelden in der Weboberfläche auslösen. Hierzu klicken Sie das passende Zertifikat an und wählen die passende Aktion.
Anders als zuvor können wir Ihre Zertifikate nicht mehr verlängern.
Die Registrierungsstelle (Registration Authority) der Technischen Hochschule Mannheim (HAW-MA-CA) wird von der Campus IT der Technischen Hochschule Mannheim betrieben und ist unter folgender Adresse zu erreichen:
Technische Hochschule Mannheim
Registrierungsstelle
Frau Schulz, Herr Bostanci
Campus IT
Paul-Wittsackstr. 10
68163 Mannheim
Frau Schulz
pki@th-mannheim.de
Herr Bostanci
pki@th-mannheim.de
Typische Warnmeldungen betreffen:
Das Zertifikat ist abgelaufen (engl. expired), d.h. der Zeitraum der Gültigkeit ist verstrichen.
Das Zertifikat ist für einen anderen Webserver ausgestellt, d.h. z.B. www.xyz.de präsentiert ein Zertifikat von www.abc.de.
Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche Zertifikate sind bestenfalls für Testzwecke geeignet.
Das Zertifikat wurde widerrufen.
- Die Zertifizierungsinstanz (engl. Certification Authority), die das Zertifikat ausgestellt hat, ist dem Browser nicht bekannt. Dies kann bedeuten, dass hier ein Wurzelzertifikat fehlt, um die Zertifikatskette überprüfen zu können. Es könnte sich allerdings auch um einen Betrugsversuch handeln.
Spielen Sie bitte die rechts verlinkten Root-Zertifikate ein.
Bei Ubuntu:
1. Copy both THM root certificates (HARICA-GEANT-*) to /usr/local/share/ca-certificates
2. Update trusted certificates: sudo update-ca-certificates
Zertifizierungsrichtlinien/Datenschutz
Harica Zertifikate und Richtlinien
Datenschutzrichtlinie (PDF)
Gültigkeitsdauer: Server-Zertifikate
- Derzeit: Meist bis zu 12 Monate.
- Ab 15.03.2026: Noch 200 Tage.
- Ab 15.03.2027: Noch 100 Tage.
- Ab 15.03.2029: Noch 47 Tage.