Sie befinden sich im Service: Zertifikate

Erhalt und Einbindung des Zertifikats in den Server

Erhalt und Einbindung des Zertifikats in den Server

Erhalt des Serverzertifikats

Nachdem die RWTH RA Ihre Teilnehmererklärung erhalten hat, wird die Zertifizierung veranlasst. Nach Abschluss dieses Prozesses erhalten Sie Ihr Serverzertifikat als PEM formatierte Datei per signierte E-Mail von der "dfnpki-mailsender-noreply@dfn-cert.de".

E-Mail mit dem Zertiifkat

Einbindung des Serverzertifikats

Sie benötigen

  • die per E-Mail erhaltene Zertifikatsdatei
  • die von Ihnen erzeugte und gespeicherte Datei mit dem RSA Schlüsselpaar (private.pem)
  • die Zertifikatskette (nicht das Stammzertifikat "T-TeleSec GlobalRoot Class 2", sondern nur die zwei Intermediates "DFN-Verein Certification Authority 2" und "DFN-Verein Global Issuing CA")

Je nach verwendeter Server-Software müssen diese Dateien in andere Formate konvertiert werden.

Wird das Zertifikat in ASCII-Form, also als PEM-Datei, benötigt, so erfolgt die Konvertierung von dem ursprünglichen Binärformat DER wie folgt:

openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

Apache

Apache verwendet PEM formatierte Schlüsselteile, sodass eine einfache Integration Ihrer Schlüsselteile möglich ist. Dabei sind in der „httpd.conf“ folgende Punkte besonders zu beachten:

    • SSLCertificateFile:
      Ihr Serverzertifikat, so wie Sie es per E-Mail erhalten haben
    • SSLCertificateKeyFile:
      Ihr privater Schlüsselteil, so wie Sie ihn in Schritt "Erzeugung des RSA Schlüsselpaares" erzeugt haben
    • SSLCertificateChainFile:
      Die komplette Zertifizierungskette als PEM formatierte Datei

lighttpd

Wie auch der Apache verwendet lighttpd Schlüsselkomponenten im PEM-Format, so das keine Formatkonvertierungen notwendig sind. In der Konfiguration sind folgende Punkte besonders zu beachten:

    • ssl.engine = "enable"
    • ssl.pemfile:
      Kombination aus privaten Schlüsselteil („private.pem“ aus Schritt "Erzeugung des RSA Schlüsselpaares") sowie dem per E-Mail erhaltenem Serverzertifikat. (z. B. via „cat private.pem cert-<Seriennummer>.pem > server.pem“)
    • ssl.ca-file:
      Die komplette Zertifizierungskette als PEM formatierte Datei

Microsoft IIS

Für die Verwendung Ihres Zertifikats müssen zunächst die drei Stammzertifikate im Binärformat eingebunden werden (folgende Links zwecks Import bitte mit dem InternetExplorer öffnen DFN-Verein Global Issuing CADFN-Verein Certification Authority 2T-TeleSec GlobalRoot Class 2). Anschließend muss aus Ihrem privaten Schlüsselteil und Ihrem Serverzertifikat eine „pkcs12“-Datei erstellt werden. Dies kann mit OpenSSL erfolgen:

openssl pkcs12 -export -in cert-<Seriennummer>.pem –inkey private.pem -out Ihre_neue_PKCS12_Datei.p12 -name "My Certificate"

Verwenden Sie dazu als "cert-<Seriennummer>.pem" das von der DFN-PKI ausgestelltes Serverzertifikat. Die Datei „private.pem“ muss Ihrem privaten Schlüsselteil aus dem Schritt "Erzeugung des RSA Schlüsselpaares" entsprechen. Die dabei neu erstellte Datei „Ihre_neue_PKCS12_Datei.p12“ kann dann in Ihre Server-Software importiert werden.

zuletzt geändert am 30.06.2022

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz