Server-Zertifikate
Wenn Sie mit einem Web- oder Mailserver eine verschlüsselte Verbindung aufbauen, so schickt Ihnen dieser Server einen Schlüssel, mit dem die nachfolgende Kommunikation verschlüsselt wird. Zertifikate sind digitale Ausweisdokumente. Das bedeutet, dass eine vertrauenswürdige Instanz die Identität einer Person oder eines Computers bestätigt. Moderne Webbrowser überprüfen solche Zertifikate auf deren Inhalt und warnen vor dem Akzeptieren von unbekannten Zertifikaten.
Um sicherzugehen, dass der Server, den Sie kontaktieren, auch wirklich der Richtige ist, wird das Zertifikat nicht nur von der Einrichtung, die Sie gerade ansprechen, sondern zusätzlich von einer vertrauenswürdigen Instanz, der Certificate Authority (CA) unterschrieben. Das Zertifikat ist also vergleichbar mit einem Personalausweis. Dieser wird nicht allein durch die eigene Unterschrift, sondern erst durch Stempel und Siegel der Ausweisbehörde zu einem amtlichen Dokument. Für die Hochschule Mannheim erbringt nun GÉANT das Signieren der Zertifikate.
Aktuell stellen wir ausschließlich Serverzertifikate aus.
Nutzerzertifikate sind aktuell in der Testphase.
In Browsern (Firefox, Chrome, …) wird in der URL-Leiste eine gesicherte verschlüsselte Verbindung i.d.R. mit einem Schloss-Symbol angezeigt. Durch Klicken auf das Schloss-Symbol können weitere Informationen zum Zertifikat angezeigt werden. In Mailprogrammen wird z.B. beim Erhalt einer signierten und/oder verschlüsselten Nachricht ein (Brief-)Siegel-Symbol angezeigt. Durch Klicken auf das (Brief-)Siegel-Symbol können weitere Informationen zum Zertifikat angezeigt werden.
Die Hochschule Mannheim betreibt eine ausgelagerte CA. Das bedeutet, dass wir direkt über eine Schnittstelle Zertifikatsanträge stellen können, die dann bestätigt werden. Die neue Webschnittstelle läuft unter Géant. Der GÉANT realisiert diesen Service durch einen Anbieter, der durch eine Ausschreibung ermittelt wird. Derzeit handelt es sich dabei um die Firma Sectigo. Die Regeln, die bei der Nutzung dieser Zertifikate einzuhalten sind, sind in der Zertifikats-Policy von Sectigo festgeschrieben.
Die Campus IT betreibt hier eine Registrierungsinstanz für die Ausstellung von Zertifikaten für den Dienstbetrieb. Die Ausstellung von X.509-Zertifikaten in einer "anerkannten" CA-Hierarchie (d.h. mit in Betriebssystemen bereits hinterlegten Root-CA-Zertifikaten) erfolgt nun über die PKI-Dienstleistung "TCS" (Trusted Certificate Service), die das europäische Forschungsnetzwerk GÉANT über externe Dienstleister bezieht und dem DFN und seinen Mitgliedseinrichtungen bereitstellt.
Die Schritte zum Zertifikat
1. Wenn Sie planen, einen neuen Serverdienst (Cloudverfahren, gehostete Lösung etc.) aufzusetzen oder zu betreiben, dann fordern Sie bitte zuerst einen Projektantrag bei referentin.prorektor-digitalisierung@hs-mannheim.de an. Dies stellt sicher, dass Sie an alle evtl. einzubeziehenden Stellen denken, angefangen von der Campus IT, über den Kostenstellenverantwortlichen bis hin zum Personalrat, sollten Sie personenbezogene Daten von Mitarbeitenden (TV-L) verarbeiten. Verarbeitung ist es bereits dann, wenn ein Kolleg:in diesen Dienstangebot administriert.
Beachten Sie hierbei, dass Sie alle Serveranwendungen, die im besonderen von außerhalb der Hochschule verfügbar sein sollen, im Vorfeld mit dem Informationssicherheitsbeauftragten isbe@hs-mannheim.de und ggfs. mit dem Datenschutzbeauftragten abstimmen. Unabgestimmte Anfragen können wir nicht genehmigen.
2. Nach dem OK aus dem Rektorat - informieren Sie uns per Ticketing über das gewünschte Zertifikat und den Domain-Namen. Der Server muss bereits über diesen Namen erreichbar sein. Wenn dies nicht der Fall ist, beantragen Sie bitte zuerst einen Domainnamen (DNS) - ebenfalls über Ticketing an support.cit@hs-mannheim.de.
3. Danach stellen Sie selbst den Zertifikatantrag, wie beschrieben.
SSL-Zertifkate laufen nach einem (1) Jahr aus. Sie können Ihre Zertifikate in Ihrem Benutzerkonto bei Sectigo einsehen (die, die Sie beantragt haben).
Mitglieder der Hochschule Mannheim können ab sofort Server-Zertifikate selbst beantragen. Gehen Sie hierzu wie folgt vor:
1. Beachten Sie den Genehmigungsprozess. Ihr Ticket zu diesem Antrag muss im Vorfeld bei uns eingehen! Sie müssen sich für die Beantragung auf dem Campus der HS Mannheim befinden oder eine VPN Verbindung zur Hochschule Mannheim haben.
2. Linux: Erzeugen Sie einen Certificate-Request (CSR). Hierzu muss OpenSSL auf dem System installiert sein.
- Öffnen Sie eine Serverkonsole.
- Geben Sie auf der Konsole ein: openssl req -newkey rsa:4096 -keyout <namefuerPrivateSchluesselDatei>.key -out <namefuerZertifikatsDatei>.csr
Beispiel: openssl req -newkey rsa:4096 -keyout meinschluessel.key -out Servercert_meinSystem.csr
meinschluessel.key ist der Name, in dem die Schlüsseldatei gespeichert wird
Servercert_meinSystem.csr bezeichnet den Namen des Zertifikates. Sinnvollerweise sollte das hier der Name des Servers sein - also beispielsweise meinserver.cit.hs-mannheim.de.csr - Drücken Sie ENTER.
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase: GEBEN SIE IHR PASSWORT FÜR DAS KEYFILE EIN
Danach Eingabe der Daten für den Signing Request:
Country Name (2 letter code) [XX]:DE
State or Province Name (full name) []:Baden-Wuerttemberg
Locality Name (eg, city) [Default City]:Mannheim
Organization Name (eg, company) [Default Company Ltd]:Hochschule Mannheim
Organizational Unit Name (eg, section) []:<IhreFakultät oder Einrichtung etc>
Common Name (eg, your name or your server's hostname) []:<DNSNamedesServersindemdasCertverwendetwird...xy.hs-mannheim.de>
Email Address []: <IhreEmailAdresse>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:In jedem Fall einzugeben sind die fett dargestellten Begriffe - Sie dürfen keine Umlaute verwenden. Sie geben zusätzlich an: Ihre Fakultät, den Servername und Ihre E-Mailadresse
Adressen außerhalb von hs-mannheim.de können nicht validiert werden. Wir validieren auch keine Wildcard-Zertifikate.
Die Datei mit der Endung .csr laden Sie sich herunter oder speichern diese so ab, dass Sie diese später in einem Browser hochladen können.
Sie benötigen entweder die Installation von openssl für Windows oder die Anwendung inetsrvmgr.exe (Windows-Server mit IIS). Sollten Sie openssl für Windows nutzen, dann ist das Vorgehen das Gleiche wie beim Linux-System.
Eine detaillierte Anleitung hierfür können wir Ihnen leider nicht bereitstellen, sie finden aber ausreichend Material im Netz.
Folgen Sie dann dieser Anleitung. Die fett gedruckten Daten sind 1:1 zu übernehmen!
Tragen Sie folgende Daten ein:
Gemeinsamer Name: <IhrZertifikatsname> Beispiel: meincert.hs-mannheim.de
Organisation: Hochschule Mannheim
Organisationseinheit: <IhreFakultät> Beispiel: Informatik
Ort: Mannheim
Bundesland: Baden-Wuerttemberg
Land: DE
In jedem Fall einzugeben sind die fett dargestellten Begriffe. Sie geben zusätzlich an: Ihre Fakultät, den Servername und Ihre E-Mailadresse
Adressen außerhalb von hs-mannheim.de können nicht validiert werden. Wir validieren auch keine Wildcard-Zertifikate.
Die erstellte Datei laden Sie sich herunter oder speichern diese so ab, dass Sie diese später in einem Browser hochladen können.
Öffnen Sie die Webseite des Zertifikatsmanagers
Wählen Sie die Hochschule Mannheim//University of Applied Sciences Mannheim (Identitiy Provider) aus. Geben Sie dann Ihre zentralen Zugangsdaten ein.
Es kann einen Moment dauern, bis sich die Seite anschließend aufbaut.
Lassen Sie das Feld Access Code frei und wählen Sie unter Enrollment Account SSL- Hochschule Mannheim SSL Zertifikate aus. Drücken Sie Next.
Laden Sie Ihre .csr Datei hoch (drücken Sie Upload CSR) oder kopieren Sie deren Inhalt in das Feld CSR*.
Kontrolle Ihrer Eingaben - Angabe der Empfängeradresse
Wenn Sie das CSR Feld ausgefüllt haben, sollte bei Common Name der FQDN des Servers eingetragen sein. Falls nicht, ergänzen Sie ihn. Das Zertifikat kann durch Sie vor Ablauf erneuert werden, allerdings muss das dann auf dem Server trotzdem noch ausgetauscht werden.
Subject Alternativ Names gibt Ihnen die Möglichkeit weitere Aliasnamen für den Server anzugeben. Diese können hier kommasepariert angegeben werden. Beachten Sie dabei, dass auch hier nur Server erlaubt sind, die der Domäne hs-mannheim.de bzw. deren Subdomänen angehören.
Für die Erneuerung oder Sperrung des Zertifikates wid noch ein Passwort benötigt, welches Sie in den folgenden beiden Feldern vereinbaren können.
Tragen Sie unter External Requester bitte pki@hs-mannheim.de ein. Damit stellen Sie sicher, dass ein Mitarbeiter der PKI an der HS Mannheim informiert wird, dass ein Zertifikatsantrag vorliegt. Der Kommentar ist optional.
Drücken Sie auf Submit.
Sobald ein Mitarbeiter der RA der PKI HS Mannheim den Antrag bearbeitet hat, erhalten Sie eine Mail von support(at)certmanager.com mit Links zu Ihrem Zertifikat in verschiedenen Ausführungen.
Wählen Sie die Datei mit der Zertifikatskette und laden Sie sich das Zertifikat herunter. Für Windows wählen Sie eine Form PKCS#7. Die entsprechenden Zeilen sind unten fett gekennzeichnet.
Beispiel für die Genehmigungs-Mail:
Dear Certificate Applicant,
your certificate request 0815 with profile OV Multi-Domain has been processed.
The certificate has been issued with the names beispiel.hs-mannheim.de .
It will expire on 12/12/2023 23:59 GMT.
You need the Certificate ID to renew or revoke the certificate. Certificate ID: 081511
Please choose the correct download format. For Apache/nginx use "as Certificate (w/ issuer after)", for Microsoft IIS "as PKCS#7". Both of these options contain the complete certification chain including CA certificates.
Available formats:
as Certificate only, PEM encoded: alle LINKS entfernt
as Certificate (w/ issuer after), PEM encoded: alle LINKS entfernt *für Linux (Apache)
as Certificate (w/ chain), PEM encoded:
as PKCS#7: * für Windows
as PKCS#7, PEM encoded:alle LINKS entfernt
Ihr neues Zertifikat würde bei jedem Neustart des Webservers nach dem Passwort fragen. Enfernen Sie daher mit folgendem Befehl das Passwort aus der Keydatei.
openssl rsa -in <namedesKeyfiles>.key -out <neuerNamedesKeyfilesohnePasswort>.key
Beispiel:
openssl rsa -in meineKeydatei.key-out meineKeyDateiohnePasswort.key
Sie können sich Ihre Zertifikate jederzeit ansehen und die Ablaufzeiten kontrollieren, um rechtzeitig einen neuen Antrag zu stellen. Sie erhalten vor Ablauf Ihrer Zertifikate eine E-Mail.
Loggen Sie sich in den Zertifikatsmanager ein. (Institution auswählen - Hochschule Mannheim, Universitiy of applied sciences), dann Ihr zentraler Login (Benutzername und Passwort), unter Account SSL Webformular Hochschule Mannheim auswählen. Dann Next drücken.
Sie finden Ihre Zertifikate, indem Sie links oben auf Back to Certificate List klicken. Über Enroll Certificate kommen Sie wieder zur Beantragung.
In der Zertifkate-Liste können Sie Zertifikate auch zurückziehen (revoke), in anderen Formen herunterladen (download) und auch erneuern (renew).
Beides können Sie nach dem Anmelden in der Weboberfläche auslösen. Hierzu klicken Sie das passende Zertifikat an und wählen die passende Aktion.
Anders als zuvor können wir Ihre Zertifikate nicht mehr verlängern.
Die Registrierungsstelle (Registration Authority) der Hochschule Mannheim (HAW-MA-CA) wird von der Campus IT der Hochschule Mannheim betrieben und ist unter folgender Adresse zu erreichen:
Hochschule Mannheim
Registrierungsstelle
Frau Schulz, Herr Bostanci
Campus IT
Paul-Wittsackstr. 10
68163 Mannheim
Frau Schulz
pki@hs-mannheim.de
Herr Bostanci
pki@hs-mannheim.de