Webserverzertifikate ermöglichen, eine sichere Verbindungen zum Server aufzubauen. Mit solchen Zertifikaten weisen sich vor allem WWW-Server aus, deren Adresse mit https:// statt http:// anfängt, aber auch E-Mail-Server und sonstige Server, zu denen mit Transport Level Security (TLS, früher SSL) eine verschlüsselte Verbindung aufgebaut werden kann.

Die RWTH bezieht ihre Webserverzertifikate aus der GÉANT Trusted Certificate Service, aktueller Zertifikatsanbieter ist Harica. Die Beantragung erfolgt über das RA-Portal.

Bitte beachten Sie die immer kurzer werdende Zertifikatsgültigkeitsdauer bei Serverzertifikaten (Stand 08.05.2026):

•     Bis Anfang März 2026 365 Tage
•     Ab Anfang März 2026 199 Tage
•     Ab März 2027 maximal 100 Tage
•     Ab März 2029 maximal 47 Tage

Wir empfehlen den Zertifikatsaustauschprozess mit ACME oder REST-API zu automatisieren.

Stammzertifikate werden bei gängigen Browsern und anderen relevanten Anwendung automatisch (bei Software-Installation oder -Update) mitgeliefert. Hierdurch können die ausgestellten Serverzertifikate weltweit auf ihre Gültigkeit validiert werden.

Zertifikatsketten:

• Sectigo (GÉANT/TCS): Es werden mehrere Zertifikatsketten eingesetzt, die münden aber alle in dem Stammzertifikat "AAA Certificate Services" der "Comodo CA Limited"
• Harica: Für RSA-Schlüssel wird das Stammzertifikat "Hellenic Academic and Research Institutions RootCA 2015" eingesetz
• Harica: Für Elliptic Curve-Schlüssel wird das Stammzertifikat "Hellenic Academic and Research Institutions ECC RootCA 2015" eingesetz

Die von Sectigo und Harica ausgestellte Serverzertifikate haben alle genau folgende "Key Usages" (X509v3 extensions):

• X509v3 Key Usage: critical
  • Digital Signature, Key Encipherment
• X509v3 Extended Key Usage:
  • TLS Web Server Authentication, TLS Web Client Authentication

Weitere Informationen:

• CSR-Datei im RA-Portal hochladen
• SSL-Zertifikate im RA-Portal verwalten