Login |
 
 

Zertifikate

zertifikate.png

Bitte beachten Sie die Hinweise des DFN zur Umstellung auf SHA-2! 


Die Universität Konstanz bietet als Teil der Public-Key-Infrastruktur (PKI) des Deutschen Forschungsnetzs (DFN) digitale Zertifikate gemäß dem X.509-Standard an. Wir bieten sowohl Nutzerzertifikate für Endnutzer als auch Serverzertifikate für Dienstbetreiber an.

Als Endnutzer können Sie mit Ihrem eigenen digitalen Zertifikat unter Verwendung von  S/MIME E-Mails signieren und verschlüsseln oder sich gegenüber einem IT-Dienst ausweisen. Bestimmte Webseiten ermöglichen Ihnen somit zum Beispiel einen zertifikatsbasierten, passwortlosen Login.

Als Dienstbetreiber können Sie ihren IT-Dienst mit Hilfe eines digitalen Zertifikates gegenüber den Nutzern ausweisen. Das ermöglicht Ihnen zum Beispiel das Anbieten verschlüsselter Verbindungen zu Ihrem Webserver mittels HTTPS

Ein digitales Zertifikat bestätigt in diesem Kontext die Identität einer Person oder eines IT-Dienstes. Etwas präziser: Im Rahmen eines sogenannten asymmetrischen Kryptosystems wird durch die Zertifizierung bestätigt, dass ein bestimmter öffentlicher Schlüssels zu einer bestimmten Person oder einem bestimmten IT-Dienst gehört. Digitale Zertifikate garantieren auf diese Weise:

  • Integrität: Daten können auf dem Weg zum Empfänger nicht unbemerkt manipuliert werden
  • Vertraulichkeit: Daten können auf dem Weg zum Empfänger nicht durch Unbefugte eingesehen werden
  • Authentizität: Daten können nicht im Namen unbefugter Absender übermittelt werden

Digitale Zertifikate werden von einer Zertifizierungsstelle, einer sogenannten Certificate Authority (CA) ausgestellt. Die Universität Konstanz betreibt die Zertifizierungsstelle Uni-Konstanz CA-S001, welche in die DFN-Zertifizierungshierarchie (DFN-PKI) eingebunden ist.

Zertifikat beantragen

Nutzerzertifikat beantragen

Benutzen Sie für diesen wichtigen Schritt KEINEN ÖFFENTLICHEN COMPUTER, sondern stets Ihren persönlichen Computer, Ihren persönlichen Account auf Ihrem Arbeitsrechner. Um als Endnutzer ein Zertifikat zu beantragen, verwenden Sie bitte unsere Webschnittstelle:

  • Nutzerzertifikat über Webschnittstelle beantragen
    • Für das Beantragen eines Nutzerzertifikates benötigen Sie

     

      1. Vorname und Name
      2. E-Mail-Adresse an der Universität Konstanz

     

    • sowie eine von Ihnen gewählte PIN angeben. Diese benötigen Sie unter anderem, um Ihr Zertifikat gegebenenfalls sperren lassen zu können. Optional können Mitarbeiter zusätzlich den Namen Ihrer Abteilung angeben.

     

Drucken Sie anschließend den Zertifikatsantrag aus und lassen Sie Ihr Zertifikat bei einer unserer Registrierungsstellen, persönlich registrieren. Dafür benötigen Sie neben dem ausgefüllten und unterschriebenen Zertifikatsantrag einen amtlich gültigen Lichtbildausweis. Bitte beachten Sie auch die allgemeinen FAQs der DFN PKI.

Serverzertifikat beantragen

Um als Dienstbetreiber ein Zertifikat zu beantragen, verwenden Sie bitte unsere Webschnittstelle:

  • Serverzertifikat über Webschnittstelle beantragen
    • Für das Beantragen eines Serverzertifikates benötigen Sie

     

      1. Zertifizierungsantrag (Certificate Signing Request - CSR). Um Ihnen das Erzeugen des CSR zu erleichtern, stellen wir Ihnen zwei Vorlagen speziell für Dienste an der Universität Konstanz zur Verfügung, die nur noch ergänzt werden müssen:

     

       

       

      1. E-Mail-Adresse des Administrators (und Stellvertreters)

     

      1. das für den Dienst passende Zertifikatsprofil.

     

    • Desweiteren müssen Sie unter anderem für den Fall eines Sperrantrages eine PIN angeben. Optional können Sie zusätzlich die Abteilung angeben, zu dem der Dienst gehört. Das DFN stellt eine Anleitung für OpenSSL bereit. In den meisten Fällen sollten Sie sich auch die CA-Zertifikate herunterladen.

     

Drucken Sie anschließend den Zertifikatsantrag aus und lassen Sie Ihr Zertifikat bei einer unserer Registrierungsstellen, persönlich registrieren. Dafür benötigen Sie neben dem ausgefüllten und unterschriebenen Zertifikatsantrag einen amtlich gültigen Lichtbildausweis. Bitte beachten Sie auch die allgemeinen FAQs der DFN PKI.

Zertifikat erneuern oder sperren

Zertifikat erneuern

Möchten Sie Ihr Zertifikat erneuern, also zum Beispiel vor Ablauf der Gültigkeitsdauer, dann wenden Sie sich bitte an eine unserer Registrierungsstellen. Dasselbe gilt für Änderungen an Ihrem Zertifikat, etwa beim Ergänzen weiterer E-Mail-Adressen in Ihr Nutzerzertifikat oder das Anpassen von Subject Alternative Names (SANs) bei Ihrem Serverzertifikat. Bringen Sie in jedem Fall bitte einen amtlich gültigen Lichtbildausweis mit.

Zertifikat sperren

Neben dem Ausstellen und erneuern von Zertifikakten ermöglicht die CA auch das Sperren veralteter oder kompromittierte Zertifikate. Um ein Zertifikat sperren zu lassen, verwenden Sie bitte folgende Webschnittstelle:

Sie benötigen Sie neben der Seriennummer Ihres Zertifikates zusätzlich die beim Zertifikatsantrag gewählte PIN. Sollten Sie diese vergessen haben oder sonstige Probleme beim Sperren, kontaktieren Sie eine unserer Registrierungsstellen

Zertifikate herunterladen

Nutzerzertifikate herunterladen

Sind Sie auf der Suche nach dem Zertifikat eines bestimmten Nutzers, verwenden Sie bitte die Webschnittstelle:

Alternativ können Sie den Verzeichnisdienst der DFN-PKI nutzen.

CA-Zertifikate herunterladen

Möchten Sie die CA-Zertifikate herunterladen, verwenden Sie bitte die Webschnittstelle:

Dort finden Sie neben dem CA-Zertifikat der Universität Konstanz auch das CA-Zertifikat des DFN, das CA-Wurzelzertifikat der Deutschen Telekom AG, die Zertifikatskette sowie die zum Verifizierung der Echtheit der CA-Zertifikate hilfreichen Fingerabdrücke.

Zertifizierungsstelle

Die Zertifizierungstelle der Universität Konstanz trägt den Namen Uni-Konstanz CA-S001 und ist ist Teil der DFN-Zertifizierungshierarchie (DFN-PKI). Der technische Betrieb wird vom DFN über die DFN Policy Certification Authority (DFN-PCA) übernommen.

Registrierungsstellen

Die Zertifizierungsstelle der Universität Konstanz betreibt folgende Registrierungsstellen, auch Registration Authorities (RAs) genannt, die für das Bearbeiten von Zertifikats- und Sperranträgen verantwortlich sind:

Die beiden Mitarbeiten stehen Ihnen auch für Fragen weitere Fragen rund um digitale Zertifikate gern zur Verfügung.

Weitere Informationen

  • Für Hinweise zur Schlüssellänge und zu den zu verwendenden Ciphern verweisen wir auf die Empfehlungen von BetterCrypto. Dort finden Sie außerdem auch Konfigurationshinweise für viele Dienste. Möchten Sie Ihre Einstellungen testen, können Sie zum Beispiel den Test von SSL Labs benutzen.
  • Gesperrte Zertifikate der DFN-PKI finden Sie in der Certificate Revocation List (CRL). Sie können die CRL in den Browser importieren. Beim DFN finden Sie weitere Sperrlisten. Insofern Ihr Browser das unterstützt, können Sie auch das Online Certificate Status Protocol (OCSP) verwenden.
  • Möchten Sie mit ihrem digitalen Zertifikat E-Mails signieren oder verschlüsseln, sollten Sie dediziertes E-Mail-Programm verwenden, wie etwa Mozilla Thunderbird. Von der Benutzung von Webmailschnittstellen raten wir in diesem Zusammenhang derzeit ab.
  • Möchten Sie ihr digitales Zertifikat zur Authentifizierung auf Webseiten verwenden, müssen Sie das Zertifikat zunächst in Ihren Webbrowser importieren. Wenn Sie den selben Browser benutzen wie beim Erstellen des Zertifikatsantrags, ist das Zertifikat in diesem Browser bereits installiert.

Weitere Informationen zu den digitalen Zertifikaten finden Sie auf den Seiten der DFN-PKI. Dort finden Sie auch weiterreichende technische Informationen. Haben Sie sonstige Fragen zur Benutzung digitaler Zertifikate, wenden Sie sich bitte an den Support.