Serverzertifikate mit GÉANT TCS
Wir empfehlen, die Ausstellung von Serverzertifikaten zu automatisieren und Zertifikate von Let's Encrypt mit acme4netvs zu verwenden. Die Dokumentation ist aktuell nur auf Englisch verfügbar.
Falls das für Sie keine Option ist (z.B. wenn der Server keine Verbindung ins Internet aufbauen darf), können auch mit GÉANT TCS Serverzertifikate beantragt werden.
Laufzeit von Serverzertifikaten in der Zukunft
Die Laufzeit von Serverzertifikaten wird sich in den nächsten Jahren schrittweise auf 47 Tage reduzieren. Serverzertifikate ohne Automatisierung sind ab 2027 bzw. spätestens ab 2029 keine zeiteffiziente Option mehr. Die Möglichkeit für manuelle Ausstellung von global vertrauten Serverzertifikaten wird voraussichtlich nach und nach verschwinden. Bitte setzen Sie sich dringend mit ACME auseinander und implementieren Sie es für Ihre Serverdienste.
Antragsprozess
Voraussetzung für eine erfolgreiche Antragsprüfung ist, dass die antragstellende Person für alle FQDN im Zertifikat entweder
- ITB der zugehörenden OEs ist oder
- im NETVS berechtigt ist, den FQDN zu bearbeiten
Erstellen Sie sich einen Account bei HARICA
Nur, wenn Sie noch keinen HARICA-Account haben
Sie können diesen Schritt überspringen, wenn Sie bereits einen passenden HARICA-Account haben.
Erstellen Sie sich einen Account bei HARICA. Nutzen Sie eine E-Mail-Adresse, die zu ihrem KIT-Account gehört, welcher die o.g. Prüfkriterien erfüllt. Gehen Sie dazu auf die Registrierungs-Seite von HARICA und erstellen einen Account.
KEIN Academic Login benutzen
Academic Login funktioniert hier nicht bzw. nicht vollständig. Bitte versuchen Sie nicht, über diesen Weg einen Account anzulegen.
Antrag stellen
Loggen Sie sich im HARICA Certificate Manager ein.
Wählen Sie auf der linken Seite 🔒 Server aus:
Geben Sie alle Domainnamen für ihr Zertifikat ein. Sofern nicht gewünscht, wählen Sie die Option Include www… ab.
Die Importfunktion ist unseren Tests nach relativ fragil. Se können gerne versuchen, einen bestehenden Request dort hochzuladen. Wenn das fehlschlägt, müssen Sie’s leider händisch eingeben.
Wählen Sie eine der Free-Optionen aus:
Jetzt bitte weiterklicken bis zum letzten Abschnitt Submit Request:
Sie haben jetzt zwei Optionen:
- Sie können den geheimen Schlüssel im Browser generieren ODER
- Sie generieren den geheimen Schlüssel bei sich oder direkt auf dem Server
Bei mancher Software ist nur die 2. Option möglich, da diese den Schlüssel selbst generiert und es keine Export-Option gibt.
Hier finden Sie Anleitungen zum Erstellen von Schlüssel und Requests mit gängiger Software.
1. Schlüsselgenerierung im Browser
Wenn Sie nicht noch uralte oder anderweitig eingeschränkte Endgeräte (beispielsweise embedded Hardware) unterstützen müssen, wählen Sie ECDSA als Algorithm mit einer Schlüsselgröße von 256. Wählen Sie andernfalls RSA mit Schlüsselgröße 3072.
Vergeben Sie ein Passwort für den privaten Schlüssel, haken Sie beide Felder an und klicken Generate Private Key, CSR, and submit order.
Laden Sie im nächsten Schritt den privaten Schlüssel herunter:
2. Schlüsselgenerierung auf Gerät
Kopieren Sie den Inhalt ihres Zertifikat-Requests in das Textfeld, setzen Sie den Haken darunter und klicken Sie Submit request.
Der offene Request taucht jetzt im Dashboard unter Pending Certificates auf.
Wir stellen das Zertifikat nach Prüfung der oben beschriebenen Berechtigungen aus. Sie bekommen dann von HARICA eine E-Mail und können für das Zertifikat dann im Dashboard den Download-Dialog öffnen (-Icon links neben ).
Hier können Sie dann das Zertifikat (und die Chain) in verschiedenen Formaten herunterladen. Was genau Sie benötigen, hängt von der verwendeten Software ab. Konsultieren Sie gegebenenfalls die entsprechende Dokumentation.
Sie können hier ihr Zertifikat auch selbstständig sperren oder weitere E-Mail-Adressen eintragen, die über einen Ablauf des Zertifikats benachrichtigt werden.