Serverzertifikate mit GÉANT TCS

Wir empfehlen, die Ausstellung von Serverzertifikaten zu automatisieren und Zertifikate von Let's Encrypt mit acme4netvs zu verwenden. Die Dokumentation ist aktuell nur auf Englisch verfügbar.

Falls das für Sie keine Option ist (z.B. wenn der Server keine Verbindung ins Internet aufbauen darf), können auch mit GÉANT TCS Serverzertifikate beantragt werden.

Antragsprozess

Aktuell ist die Beantragung von Serverzertifikaten noch nicht im KIT-CA Portal implementiert. Solange kann folgender Übergangsprozess verwendet werden:

1. Erstellen Sie einen Certificate Signing Request (CSR) mit allen im Zertifikat benötigten Domains als Subject Alternative Name (SAN). Im Common Name (CN) kann eine beliebige Domain stehen. Achten Sie darauf, dass der Private Key einem der oben aufgeführten Schlüsselarten entspricht, ansonsten kann das Zertifikat nicht ausgestellt werden.
2. Senden Sie den CSR mit per Mail an ca@kit.edu. Die Mail muss folgende Bedingungen erfüllen.
   • Die Mail muss von einer für die Domain berechtigten Person S/MIME-signiert sein
   • Der Betreff muss mit [TCS Certificate Request] beginnen
   • Die Mailadresse, die das fertige Zertifikat und Benachrichtigungen dazu erhalten soll, muss explizit im Mailtext angegeben sein
   • Optional: Wir freuen uns über eine kurze Erklärung, warum Let's Encrypt für Sie (aktuell) keine Option ist
3. Wir stellen das Zertifikat nach Prüfung der Berechtigungen aus.
4. Sie erhalten einen Downloadlink zum Zertifikat und der Zertifikatskette per Mail von support@cert-manager.com.

Notiz

Wenn das System zuvor ein Zertifikat der DFN-CA Global verwendet hat und die betriebene Software nicht auf den Zertifikatsspeicher des Betriebssystems zurückgreift, muss die Zertifikatskette importiert werden. Diese ist in der Zertifikatsmail verlinkt. Das ist z.B. oft bei Java-Software der Fall.