Sprungmarken

RRZE Gebäudesanierung

Das RRZE-Gebäude erhält eine neue Fassade - Mitarbeiter umgezogen
Im Zuge der Umbauarbeiten sind die RRZE-Mitarbeiter größtenteils ins Informatikhochhaus umgezogen.
Die Service-Theke im 1. OG bleibt auch weiterhin die zentrale Anlaufstelle.

Videoportal der FAU

Die letzten Meldungen

Novell Serverwartung MOLMED am Dienstag, 22 Mai von 8 Uhr bis ca. 11 Uhr

16. Mai 2012

Am Dienstag, 22 Mai findet von 8 Uhr bis voraussichtlich 11 Uhr eine dringende Serverwartung des Novell-Servers “MOLMED” statt. In der genannten Zeit ist der Zugriff auf die Volumes “USERTEMP” und “SYS” nicht möglich.
Weiterlesen...

Terminänderung – Vortrag “Einführung von fau.de-Maildomains und neuen Mail-/Groupware-Komponenten für die FAU” verschoben

15. Mai 2012

Aufgrund von Terminüberschneidungen mussten im Rahmen der Vorlesung “PRAXIS DER DATENKOMMUNIKATION” (Netzwerkausbildung) Termine getauscht werden.
Weiterlesen...

RRZE-Betrieb am „Berch“-Dienstag

15. Mai 2012

Am Dienstag, den 29.05.2012, wird das RRZE ab 12 Uhr geschlossen.
Weiterlesen...

Meldungen nach Thema

Rechte Spalte ausblenden
 

Serverzertifikat

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst zu beantragen. Dieses Zertifikat muss den PDF: Richtlinien der FAU-CA entsprechen. Das jeweilige Serverzertifikat ist 5 Jahre gültig.

Damit die Registrierungsstelle (RA) das Zertifikat beantragen kann, benötigen Sie:

  1. Eine funktionsfähige Installation von OpenSSL
  2. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format
  3. Einen Online-Antrag
  4. Den ausgedruckten Antrag ausfüllen und unterschreiben,
  5. Einen Termin bei der RA zur persönlichen Identifizierung ihrer Person
  6. Ein signiertes Zertifikat

Open SSL

Externer Link: Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein Externer Link: Windows Installationspaket. Alle OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

PKCS#10-Zertifikat im PEM-Format generieren

  • Auf einem System (z.B. SLES) einloggen, welches mit openssl ausgestattet ist
  • Verzeichnis für Zertifikate erstellen
  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:

    openssl req −newkey rsa:2048 −keyout <Servername>.key −out <Servername>.csr

    Erklärungen:

    • openssl req - Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird
    • -newkey rsa:2048 -Erzeugt ein neues Schlüsselpaar mit 2048 bit Länge nach dem RSA-Verfahren
    • -keyout <Servername>.key - Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen
    • -out <Servername>.csr - Zertifikatsantrag PKCS#10 im PEM-Format
    • -nodes - Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig
  • Abfragen beantworten
    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: <Ihr Institutsname>

      Bei der Wahl der Zeichenkette für OU sind Sie nicht frei. Es sollte sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute und Kommata sollten nicht verwendet werden.

    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)
    • Email Address: (optional) Sie ist im Zertifikat sichtbar, deshalb sollte es eine Funktions-Adresse sein. An diese wird das Zertifikat zusätzlich versendet.

    Das RRZE kann nur Zertifikate mit C=DE, ST=Bayern, L=Erlangen, O=Universitaet Erlangen-Nuernberg ausstellen

Online-Antrag erstellen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen (Stichwort: WinSCP)
  • Webschnittstelle der CA aufrufen (Externer Link: https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/)
    • Wählen Sie "Serverzertifikat" im Menü des Hauptpunktes "Zertifikate"
    • Online-Antrag ausfüllen
      • Zertifikatsrequest (Dateiendung .csr) hochladen
      • Zertifikatsprofil auswählen
      • Name des Antragstellers eingeben
      • E-Mail: Ihre Universitäts E-Mailadresse oder eine Funktionsadresse, an diese wird das Zertifikat versendet, keine Privatadresse möglich
      • Abteilung angeben (optional), z.B. die OU
      • PIN: Diese benötigen Sie, wenn Sie das Zertifikat sperren wollen bzw. müssen
      • Zertifizierungsrichtlinie lesen und zustimmen
      • Antrag kontrollieren, anzeigen lassen und ausdrucken

Zertifikatsantrag ausfüllen und unterschreiben

Den ausgedruckten Zertifikatsantrag füllen Sie bitte komplett aus und unterschreiben diesen.

Termin mit der RA

Kommen Sie mit ihrem Antrag und ihrem gültigen Personalausweis bzw. Reisepass zu einer unserer Kontaktpersonen Holger Marquardt, Volkmar Scharf oder für die Uni-Klinik Externer Link: Jochen Kaiser. Entweder ohne Voranmeldung (und ohne Garantie) oder Sie vereinbaren einen Termin.

Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, wird Ihnen ihr unterschriebenes Zertifikat per E-Mail zugeschickt.

Anschließend müssen Sie das signierte Zertifikat und den privaten Key auf den Server übertragen und in die jeweilige Applikation einbinden.

Letzte Änderung: 11. April 2012, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Inhaltenavigation

FAU - Friedrich-Alexander-Universität
UnivIS - Informationssystem der Friedrich-Alexander-Universität Erlangen Nürnberg

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit