Public-Key-Zertifikate (nach dem Standard X.509) können verwendet werden, um den Eigentümer, sowie weitere Eigenschaften (z. B. E-Mail oder die Zugehörigkeit zu einer Organisation), eines öffentlichen kryptographischen Schlüssels zu verifizieren.

Im Fall von Serverzertifikaten erlauben die verwendeten kryptographischen Schlüssel der Nutzeranwendung eine vertrauliche elektronische Kommunikation mittels Verschlüsselung aufzubauen (z.B. TLS, darunter HTTPS für Webbrowser, IPsec für VPN oder SSH).

Die RWTH Registrierungsstelle (RWTH RA) ist Teil der DFN-PKI (Public Key Infrastructure).

Ein Zertifikatsantragsteller muss der RWTH zugeordnet werden können.

Serverzertifikate in der RWTH RA werden:

• im Zeitraum 16.12.2022-09.01.2025 von der Sectigo CA ausgestellt unter GÉANT/TCS (Trusted Certificate Service)
• ab Februar 2025 von der Harica CA ausgestellt unter einem neuen DFN Vertrag

Zertifikatsketten:

• Sectigo (GÉANT/TCS): Es werden mehrere Zertifikatsketten eingesetzt, die münden aber alle in dem Stammzertifikat "AAA Certificate Services" der "Comodo CA Limited"
• Harica: Für RSA-Schlüssel wird das Stammzertifikat "Hellenic Academic and Research Institutions RootCA 2015" eingesetz
• Harica: Für Elliptic Curve-Schlüssel wird das Stammzertifikat "Hellenic Academic and Research Institutions ECC RootCA 2015" eingesetz

Stammzertifikate werden bei gängigen Browsern und anderen relevanten Anwendung automatisch (bei SW Installation oder Update) mitgeliefert. Hierdurch können die ausgestellten Server Zertifikate weltweit auf ihre Gültigkeit validiert werden.

Die von Sectigo und Harica ausgestellte Serverzertifikate haben alle genau folgende "Key Usages" (X509v3 extensions):

• X509v3 Key Usage: critical
  • Digital Signature, Key Encipherment
• X509v3 Extended Key Usage:
  • TLS Web Server Authentication, TLS Web Client Authentication

Die Serverzertifikate sind 365 Tage gültig (Stand 10.01.2025).