Digitale Zertifikate

Certification Authority (CA) der Universität Mannheim

Die CA Universität Mannheim versorgt Angehörige und Mitglieder der Universität mit digitalen Zertifikaten auf Basis des X.509 Standards. Damit können sich Personen und Gruppen, aber auch Server oder Programme ausweisen. 

Die Zertifikate werden für einen nichtgewerblichen Gebrauch, über dem DFN-Verein mit dem Dienst DFN-PKI und zukünftig TCS (Trusted Certificate Services des europäischen Forschungs­netzwerks GÉANT), ausgestellt und verteilt.


  • Aktuelles

    GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo. Damit werden die Antragsprozesse für Nutzer- und Serverzertifikate erheblich vereinfacht. So müssen unter anderem keine Anträge mehr ausgedruckt und unterschrieben werden und auch für die Identitäts­prüfung gibt es neue Verfahren.

    Die Umstellung auf TCS Zertifizierung ist noch nicht abgeschlossen. Wir informieren Sie auf dieser Seite, sobald die Test­phase abgeschlossen ist.

  • Was ist ein digitales Zertifikat?

    Digitale Zertifikat sind elektronische Identitätsnachweise und besitzen im Internet die vergleichbare Funktion eines Personalausweises in der Offline-Welt. Sie kommen dort zum Einsatz, wo die Identität eines Kommunikations­partners oder der Quelle einer Information eindeutig festgestellt werden muss.

    Zertifikate ermöglichen es zusammen mit der Public Key Infrastruktur (PKI), Informationen im Internet sicher und verschlüsselt zu übertragen. Basis der Verschlüsselung und Signierung bilden asymmetrische kryptographische Verfahren mit privaten und öffentlichen Schlüsseln. Dieses Schlüsselpaar hängt über einen mathematischen Algorithmus eng zusammen.

    Inhalte des Zertifikats sind unter anderem:

    • öffentlichen Schlüssel
    • Name des Besitzers
    • Name der Zertifizierungs­stelle
    • Gültigkeits­dauer
    • Verwendung des Zertifikats

    Der private Schlüssel ist in einer Datei kennwortgeschützt gespeichert. Nur der Eigentümer kann auf den privaten Schlüssel zugreifen, um E-Mails zu signieren oder Nachrichten zu entschlüsseln, die mit dem korrespondierenden öffentlichen Schlüssel verschlüsselt wurden.

    Häufige Anwendungs­bereiche sind:

    • verschlüsselte Verbindungen zwischen einem Webbrowser und einem Webserver per HTTPS
    • Verschlüsselung und Signierung von E-Mails
    • Signierung von digitalen Dokumenten
    • Signierung von Software und Updates
    • Aufbau von VPN-Verbindungen (Virtual Private Network) ​

    Verschiedene Software und Betriebs­systeme führen eine Liste mit vertrauenswürdigen Zertifizierungs­stellen.  Ist ein Zertifikat von einer solchen Zertifizierungs­stelle ausgestellt, betrachtet es der Besitzer oder Rechner als echt.

  • Welche Zertifikate gibt es?

    Derzeit bieten wir folgende Zertifikate an:

    1. Nutzerzertifikate (Laufzeit drei Jahre)

    Profile:

    • User werden hauptsächlich für digitale Unterschrift, Verschlüsselung und Anmeldung an Rechnern und Portalen genutzt.
    • Codesign werden verwendet, um ausführbare Software und Skripte digital zu signieren.

    Berechtigungen:
    Alle Mitglieder und Angehörige der Universität Mannheim sind berechtigt, Nutzerzertifikate zu beantragen. Codesign hingegen nur in Absprache mit den CA-MitarbeiterInnen.

     


    2. Gruppen­zertifikate
    Wenn eine E-Mail-Adresse von mehreren Personen verwendet wird oder wenn es sich um eine Funktions-E-Mail-Adresse handelt, so muss statt eines Nutzerzertifikates ein Gruppen­zertifikat beantragt werden. Dieses Zertifikat zusammen mit dem generierten kryptographischen Schlüssel (d.h. die .p12-Datei) muss auf sicherem Wege allen relevanten Nutzern übermittelt werden.

    Ein Gruppen­zertifikat wird analog zu einem Nutzerzertifikat beantragt. Im Gegensatz zu einem Nutzerzertifikat darf bei einem Gruppen­zertifikat aber der private Schlüssel durch den Inhaber an entsprechende Nutzer weitergegeben werden.

    Berechtigungen:

    • Alle Abteilungs­leiter/innen sind berechtigt Gruppen­zertifikate zu beantragen.
    • Mitarbeiter brauchen eine entsprechende Vollmacht.

    3. Serverzertifikate (Laufzeit 12 Monate)
    Serverzertifikate oder SSL Zertifikate dienen als Grundlage für verschlüsselte, authentifizierte und manipulations­freie Datenübertragung bei Nutzung von Netzdiensten (beispielsweise per https).

    Berechtigungen:

    • Alle Lehr­stuhl­inhaberInnen (sofern die entsprechenden Server ihnen zuzuordnen sind) sind berechtigt Serverzertifikate zu beantragen.
    • Weitere Personen benötigten eine entsprechende Vollmacht oder eine von Admin-C der Domain uni-mannheim.de genehmigte Delegierung.
  • Wie erhalte ich ein Nutzerzertifikat?

    1. Schritt: Zertifikatantrag stellen

    • Rufen Sie die Seite https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4670/ auf.
    • Klicken Sie auf „Nutzerzertifikat beantragen“.
    • Füllen Sie folgende Felder aus:
      • Zertifikatsprofil „User“
      • Name
      • E-Mail-Adresse
      • Abteilung: Universitäts-IT, Abteilung XY
      • Namensraum: unverändert lassen
      • Sperr-PIN, um das Zertifikat ggf. sperren zu lassen
      • Beide Haken bei „Ich verpflichte mich, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten“ und „Ich stimme der Veröffentlichung des Zertifikates mit meinem darin enthaltenen Namen (…) zu“ setzen.
      • Klicken Sie „weiter“.
    • Befolgen Sie die nun angezeigten Schritte und speichern Sie die Antragsdatei (JSON) ab.
    • Erstellen Sie nun eine weitere PIN für die Antragsdatei inklusive Schlüssel (diese benötigen Sie bei Schritt 3)
    • Laden Sie nun das Zertifikatantragsformular (PDF) her­unter und drucken es aus.
    • Nachdem Sie Ihre Unterschrift gesetzt haben, scannen Sie das Formular wieder ein.
    • Speichern Sie bitte die automatisch erstellte Antragsdatei (JSON) ebenfalls ab.

    2. Schritt: Identifizierung

    Bitte vereinbaren Sie einen Termin mit der Registrierungs­stelle, telefonisch unter +49 621 181–3330 oder per E-Mail an rum-ca rz.uni-mannheim.de. Die Registrierungs­stelle befindet sich im Gebäude der Universitäts-IT in L 15, 1-6, 6. OG.

      Vergessen Sie bitte nicht, zum vereinbarten Termin den Zertifikatantrag und Ihr Ausweisdokument mitzubringen. Eventuelle Sonderwünsche können Sie handschriftlich auf dem Antrag vermerken.

      3. Schritt: Zertifikat abholen

      • Nach erfolgreicher Registrierung erhalten Sie eine Bestätigung per E-Mail.
      • Klicken Sie auf den Link in der E-Mail, um die Zertifikatdatei im PKCS#12 Format abzuholen.
      • Laden Sie unter „Antragsdatei“ die json-Datei (von Schritt 2) hoch und geben Sie Ihre PIN ein.
      • Speichern Sie abschließend die Zertifikatsdatei für den späteren Import in den Anwendungen (z.B. Outlook).
      • Tipp: Installieren Sie das Zertifikat nach dem Erhalt auf mehr als einem persönlichen Rechner/ System. So kann im Falle eines Systemfehlers das Zertifikat wieder einfacher importiert werden.
    • Wie erhalte ich ein Serverzertifikat?

      Bitte wenden Sie sich vorab per E-Mail an webmaster uni-mannheim.de um abzuklären, welches Zertifikat für den von Ihnen geplanten Einsatz am sinnvollsten ist.

      Sollte dabei die Entscheidung auf ein DFN-Serverzertifikat fallen, gehen Sie bitte wie folgt vor:

      1. Schritt: Serverzertifikat erstellen

      • Loggen Sie sich per ssh mit Ihrer gültigen Uni-ID auf Ihrem virtuellen Webserver ein. 
      • Wenn Sie mit Ihrem virtuellen Webserver per ssh verbunden sind, geben Sie nachfolgenden Befehl ein:
        openssl req -nodes -newkey rsa:4096 -sha512 -out IHR-server.uni-mannheim.de-csr.pem -keyout IHR-server.uni-mannheim.de-priv.pem -subj '/C=DE/ST=Baden-Wuerttemberg/L=Mannheim/O=Universitaet Mannheim/OU=IHRE Einrichtung/CN=IHR-server.uni-mannheim.de'
        wobei Sie alle oben fett dargestellen Variablen durch Ihre ersetzen (verwenden Sie dabei bitte keine Umlaute):
        • „IHR-server“ kann entweder ein Hostname oder ein Hostname.Subdomain sein, je nachdem, wie der vollständige System-/Hostname lautet.
        • „IHRE Einrichtung“ ist entweder eine zentrale Einrichtung, ein Lehr­stuhl, ein Projekt oder eine sonstige Unter­einrichtung.
      • Drücken Sie die Enter-Taste
      • Ihr Zertifikatantrag (pem) und Ihr geheimer Schlüssel (priv.pem) wird erstellt.
      • Führen Sie als nächstes folgenden Befehl durch:
        chmod 600 IHR-server.uni-mannheim.de-priv.pem
        wobei Sie IHR-server mit dem oben angegebenen Namen ersetzen. Dadurch wird der geheime Schlüssel nur lesbar für Sie selbst.
      • Laden Sie anschließend den erzeugten Zertifikatantrag (csr.pem) IHR-server.uni-mannheim.de.pem (wobei Sie bitte IHR-server wieder durch den von Ihnen gewählten Namen ersetzen), mit scp auf Ihren lokalen Rechner. Wenn Sie Windows verwenden, dann können Sie zum Beispiel dafür WinSCP verwenden. 

      2. Schritt: Zertifizierung beim DFN

      • Rufen Sie die Seite https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4670/ auf.
      • Klicken Sie auf „Datei auswählen“ und wählen Sie den oben erwähnten, nun auf Ihrem lokalen Rechner vorhandene Zertifikat-Request aus.
      • Das Zertifikatsprofil lassen Sie unverändert auf Webserver stehen.
      • Bitte tragen Sie keine IP-Adresse ein.
      • Bei „Weitere Angaben“ machen Sie die erforderlichen Angaben. Beachten Sie, dass Sie bei PIN ein weiteres Passwort vergeben müssen.
      • Klicken Sie auf „weiter“ und bestätigen Sie die folgenden Seiten erneut.
      • Im Anschluss wird automatisch ein PDF erzeugt, welches Sie bitte ausdrucken und mit weiteren Informationen zu Ihrer Person vervollständigen!
      • WICHTIG: Das Zertifikat kann nur auf die Person ausgestellt werden, auf die auch die Funktions­kennung eingetragen ist. Im Zweifel ist dies immer die Leitung der Einrichtung, für welche der Webserver betrieben wird.
      • Mit dem Formular und einem amtlichen Ausweis gehen Sie dann zur Registrierungs­stelle. Bitte vereinbaren Sie vorab einen Termin, telefonisch unter +49 621 181–3330 oder per E-Mail an rum-ca rz.uni-mannheim.de. Die Registrierungs­stelle befindet sich im Gebäude der Universitäts-IT in L 15, 1-6, 6. OG.
        Bitte beachten Sie: Sofern Sie nicht die Person sind, auf welche die oben genannte Funktions­kennung zugelassen ist, benötigen Sie eine Vollmacht. Bitte klären Sie dies im Zweifel vorher mit der Zertifizierungs­telle ab.
      • Danach erhalten Sie vom DFN eine E-Mail mit Ihrem zertifizierten Serverzertifikat.
      • Diese Mail leiten Sie bitte an webmaster uni-mannheim.de weiter, und teilen dem Webmaster mit, wo Sie die Datei: IHR-server.uni-mannheim.de.pem und dsa Zertifikat gespeichert haben. Senden Sie bitte niemals den IHR-server.uni-mannheim.de-key.pem per E-Mail!
      • Danach wird der Server für Sie als SSL-Server eingerichtet. Über die erfolgte Einrichtung werden Sie dann per E-Mail informiert.

    Bisher wurden die an der Universität Mannheim eingesetzten SSL-Zertifikate durch das Deutsche Forschungs­netz (DFN) ausgestellt. Nachdem die Gültigkeit der SSL-Zertifikaten von 26 auf 13 Monate reduziert wurde, ist der Aufwand für die Erstellung eines DFN-Zertifikates deutlich gestiegen. Bis eine automatische Zertifikatsverlängerung seitens des DFN angeboten wird, führt die Universitäts-IT Mannheim die Zertifizierung überwiegend bei Let’s Encrypt durch.

    Let’s Encrypt ist eine offene, freie und automatisierte Zertifizierungs­stelle und wird von der Internet Security Research Group (ISRG) zur Verfügung gestellt. Diese Alternative bietet eine automatische Verlängerung der Zertifikate an und ist in Bezug auf Sicherheit und Vertrauenswürdigkeit mit den DFN-Zertifikaten gleichgestellt. Let’s Encrypt setzt dabei einen Über­prüfungs­mechanismus ein, welcher die Identität nachweist und einen Missbrauch durch Dritte verhindert. Server, die nicht mit Let’s Encrypt betrieben werden können, erhalten weiterhin die DFN-Zertifikate.