Was sind Webserverzertifikate?
Server-Betreiber können ein Server-Zertifikat beantragen und damit den Nutzern Ihres Servers ermöglichen, eine sichere Verbindungen zum Server aufzubauen. Mit solchen Zertifikaten weisen sich vor allem WWW-Server aus, deren Adresse mit https:// statt http:// anfängt, aber auch E-Mail-Server und sonstige Server, zu denen mit Transport Level Security (TLS, früher SSL) eine verschlüsselte Verbindung aufgebaut werden kann.
Die RWTH Zertifizierungsstelle arbeitet im Rahmen der Public-Key-Infrastruktur (PKI) des DFN-Vereins (Deutsches Forschungsnetz e. V.) zur Unterstützung von Wissenschaft, Forschung und Lehre.
Die RWTH bezieht ihre Webserverzertifikate aus der GÉANT Trusted Certificate Service, aktueller Zertifikatsanbieter ist Harica. Die Beantragung erfolgt über das RA-Portal.
Zertifikatsketten:
- Sectigo (GÉANT/TCS): Es werden mehrere Zertifikatsketten eingesetzt, die münden aber alle in dem Stammzertifikat "AAA Certificate Services" der "Comodo CA Limited"
- Harica: Für RSA-Schlüssel wird das Stammzertifikat "Hellenic Academic and Research Institutions RootCA 2015" eingesetz
- Harica: Für Elliptic Curve-Schlüssel wird das Stammzertifikat "Hellenic Academic and Research Institutions ECC RootCA 2015" eingesetz
Stammzertifikate werden bei gängigen Browsern und anderen relevanten Anwendung automatisch (bei SW Installation oder Update) mitgeliefert. Hierdurch können die ausgestellten Server Zertifikate weltweit auf ihre Gültigkeit validiert werden.
Die von Sectigo und Harica ausgestellte Serverzertifikate haben alle genau folgende "Key Usages" (X509v3 extensions):
- X509v3 Key Usage: critical
- Digital Signature, Key Encipherment
- X509v3 Extended Key Usage:
- TLS Web Server Authentication, TLS Web Client Authentication
Die Serverzertifikate sind 365 Tage gültig (Stand 10.01.2025).