Der Weg zum SSL-Zertifikat für Uni-Server

von Susanne Kriszta (Ausgabe 06/2, Juni 2006)


Das Zertifizierungs-Service des ZID bietet allen Instituten und Dienststellen der Universität Wien die Möglichkeit, ihre diversen Server mit SSL-Zertifikaten auszustatten.

Voraussetzungen

  • Die Weitergabe der Zertifikate an Dritte sowie ihre Verwendung für kommerzielle Zwecke (z.B. für Webshops) ist nicht erlaubt.

  • Die Zertifikate werden nur für Domains ausgestellt, deren Inhaber die Universität Wien ist. Bei Domains, die auf Universitäts-MitarbeiterInnen bzw. Studierende persönlich registriert sind, kann dieses Service nicht genutzt werden.

  • Zertifikate für Domains, die nicht auf univie.ac.at enden, sind möglich, benötigen allerdings eine längere Bearbeitungszeit und sind daher rechtzeitig zu beantragen.

Das Service ist für die EndbenutzerInnen kostenlos, erfordert jedoch am Zentralen Informatikdienst einen gewissen administrativen Aufwand. Wir sind zwar bemüht, die Zertifikate so schnell wie möglich (d.h. in der Regel innerhalb weniger Tage) auszustellen, bitten aber um Verständnis dafür, dass wir keine Antwortzeiten garantieren können.

Schritt für Schritt zum Zertifikat

Zunächst muss der Administrator des Servers - der Technical Contact - einen Private Key und einen Certificate Signing Request (CSR) generieren. Das dazu benötigte Programm (z.B. openssl bei Apache-Webservern) ist in der Serversoftware enthalten. Nähere Informationen zu diesem Schritt finden Sie in Ihrer Serverdokumentation und auf der Webseite https://www.univie.ac.at/ZID/ssl-antrag/ unter dem Link Help with creating your CSR. Die Webseite https://www.univie.ac.at/ZID/ssl-antrag/ müssen Sie auch aufrufen, um das Zertifikat zu beantragen:

Step 1:

Wählen Sie unter dem Punkt Options die gewünschte Laufzeit (maximal 3 Jahre) und den Typ des Zertifikats (das Standardprodukt ist SureServerEDU TLS) sowie Ihren Webserver-Typ. Anschließend kopieren Sie den zuvor generierten CSR in das Eingabefeld darunter und klicken auf Go to step 2 (siehe Abb. 1).

Abb. 1: SCS-Zertifikat beantragen - Step 1

 

Step 2:

Hier sind die Daten des Antragstellers auszufüllen (siehe Abb. 2). Der Technical Contact ist der Administrator des jeweiligen Servers. Unter dem Punkt Email ist auch die Angabe einer Gruppen-Mailadresse möglich und sinnvoll - an diese Adresse werden nämlich das Zertifikat und die Warnungen über den Ablauf geschickt.

Die Funktion der Admin Contact Person (auch Proxy genannt) hat für die Universität Wien ein Mitarbeiter des Zentralen Informatikdienstes inne. Es ist Bestandteil der Vertragsvereinbarungen mit der Firma GlobalSign, dass der Request ausschließlich von der Person bearbeitet werden darf, die an dieser Stelle im Formular genannt wird. Der Name und die Kontaktdaten des jeweils aktuellen "Proxy vom Dienst" sind im rechten Bereich des Webformulars eingeblendet (siehe Abb. 2); bitte übertragen Sie dort angegebenen Daten in Ihren Antrag.

Abb. 2: SCS-Zertifikat beantragen - Step 2

 

Step 3:

Abschließend erhalten Sie nochmals eine Zusammenfassung Ihrer Angaben (siehe Abb. 3). Sofern alles korrekt ausgefüllt ist, klicken Sie auf Request this certificate!, um Ihren Antrag abzuschicken.

Abb. 3: SCS-Zertifikat beantragen - Step 3

 

Was passiert dann?

Der Proxy kontaktiert nun den Technical Contact per eMail, um zu überprüfen, ob dieser auch tatsächlich das jeweilige Zertifikat beantragt hat. Innerhalb von 14 Tagen muss eine Bestätigung via Mail erfolgen, sonst wird der Request automatisch aus dem System gelöscht (bei Unklarheiten benötigen wir zusätzlich eine Bestätigung des Institutsvorstands). Sofern keine Komplikationen auftreten, erhält der Technical Contact wenige Tage nach Eintreffen der Bestätigung eine eMail-Nachricht mit dem signierten Zertifikat, einem Link für dessen zukünftigen Download sowie einem Link, unter dem es widerrufen werden kann (siehe unten).

Das Zertifikat erlischt automatisch nach Ablauf der gewünschten Zeitspanne. Eine Verlängerung ist nicht möglich, sondern das Zertifikat muss - wie oben beschrieben - neu beantragt werden. Wenn der Private Key kompromittiert wurde (z.B. durch Einbruch in den Server), muss das Zertifikat vom Technical Contact unter dem per Mail übermittelten Link widerrufen werden. Dazu ist das bei der Anmeldung gewählte Passwort erforderlich. Sollte der Technical Contact dieses vergessen haben, kann er den Widerruf - nach Vorlage eines Lichtbildausweises - auch durch den Proxy durchführen lassen (dessen aktuelle Kontaktdaten sind unter https://www.univie.ac.at/ZID/ssl-antrag/ zu finden).

Weitere Infos

GlobalSign bietet ein Support-Portal mit jeder Menge Dokumentation zum Thema Zertifikate an, das unter http://support.globalsign.net/ zu finden ist. Bitte wenden Sie sich mit Fragen, Anregungen bzw. mit Meldungen über Probleme mit dem System nicht an GlobalSign, sondern per Mail an security.zid@univie.ac.at.