Die Universität Konstanz bietet als Teil der Public-Key-Infrastruktur (PKI) des Deutschen Forschungsnetzs (DFN) digitale Zertifikate gemäß dem X.509-Standard an. Als Dienstbetreiber können Sie Ihren IT-Dienst mit Hilfe eines digitalen Zertifikates gegenüber den Nutzern ausweisen. Das ermöglicht Ihnen zum Beispiel das Anbieten verschlüsselter Verbindungen zu Ihrem Webserver mittels HTTPS. 

Ein digitales Zertifikat bestätigt in diesem Kontext die Identität eines IT-Dienstes. Etwas präziser: Durch die Zertifizierung wird bestätigt, dass ein bestimmter öffentlicher Schlüssels zu einem bestimmten IT-Dienst gehört. Digitale Zertifikate garantieren auf diese Weise:

  • Integrität: Daten können auf dem Weg zum Empfänger nicht unbemerkt manipuliert werden.
  • Vertraulichkeit: Daten können auf dem Weg zum Empfänger nicht eingesehen werden.
  • Authentizität: Daten können nicht im Namen unbefugter Absender übermittelt werden.

Digitale Zertifikate werden von einer Zertifizierungsstelle, einer sogenannten Certificate Authority (CA) ausgestellt. Die Universität Konstanz betreibt die Zertifizierungsstelle Uni-Konstanz CA-S001, welche ihrerseits in die DFN-Zertifizierungshierarchie (DFN-PKI) eingebunden ist. Die Zertifizierungsstelle der Universität Konstanz betreibt Registrierungsstellen, auch Registration Authorities (RAs) genannt, die für das Bearbeiten von Zertifikats- und Sperranträgen verantwortlich sind.


Serverzertifikat beantragen

Für das Beantragen eines Serverzertifikates benötigen Sie:

  1. Zertifizierungsantrag (Certificate Signing Request - CSR),
  2. E-Mail-Adresse des Administrators (und Stellvertreters),
  3. das für den Dienst passende Zertifikatsprofil.

Haben Sie diese Dinge parat, können Sie ein

Serverzertifikat über die Webschnittstelle beantragen.

Den zweiten Reiter (zweite Reihe) "Serverzertifikat" auswählen!

Für den Fall eines Sperrantrages müssen Sie dort eine PIN angeben. Optional können Sie zusätzlich die Abteilung oder den Fachbereich angeben, zu dem der Dienst gehört. In den meisten Fällen sollten Sie sich auch die CA-Zertifikate herunterladen. Drucken Sie anschließend den Zertifikatsantrag aus und lassen Sie Ihr Zertifikat bei einer unserer Registrierungsstellen persönlich registrieren. Dafür benötigen Sie neben dem ausgefüllten und unterschriebenen Zertifikatsantrag einen amtlich gültigen Lichtbildausweis. Bitte beachten Sie auch die allgemeinen FAQs der DFN PKI.


Serverzertifikat erneuern


Möchten Sie Ihr Zertifikat erneuern, also zum Beispiel vor Ablauf der Gültigkeitsdauer, dann wenden Sie sich bitte an eine unserer Registrierungsstellen. Dasselbe gilt für Änderungen an Ihrem Zertifikat, etwa beim Anpassen von Subject Alternative Names (SANs) bei Ihrem Serverzertifikat. Bringen Sie in jedem Fall bitte einen amtlich gültigen Lichtbildausweis mit.

Serverzertifikat sperren

Neben dem Ausstellen und erneuern von Zertifikakten ermöglicht die CA auch das Sperren veralteter oder kompromittierte Zertifikate. Um ein Zertifikat sperren zu lassen, verwenden Sie bitte folgende Webschnittstelle.

Serverzertifikat über die Webschnittstelle sperren.

Den dritten Reiter "Zertifikat sperren" auswählen/anklicken.

Sie benötigen Sie neben der Seriennummer Ihres Zertifikates zusätzlich die beim
Zertifikatsantrag gewählte PIN. Sollten Sie diese vergessen haben oder sonstige Probleme beim Sperren, kontaktieren Sie eine unserer Registrierungsstellen. 


Konfiguration der Client-Authentisierung auf Server-Seite

Wird auf Server-Seite eine Authentisierung mittels Client-Zertifikaten eingesetzt, so muss diese Konfiguration um die neue DFN-PKI Hierarchie erweitert werden.

Außerdem ist zu beachten, dass Client-Zertifikate mehrerer Einrichtungen unterhalb derselben Zertifizierungsstelle liegen und daher die Prüfungsbedingungen in der Server-Konfiguration entsprechend angepasst werden müssen.

Wichtig: Wird die Konfiguration der Client-Authentisierung auf Server-Seite nicht korrekt angepasst, haben möglicherweise auch unberechtigte Nutzer Zugriff!

Hinweise zur sicheren Konfiguration von Servern für Client-Authentisierung finden Sie im Artikel „SSL-Authentisierung mit Nutzerzertifikaten“ in den DFN-Mitteilungen Nr. 86.

DFN-Serverzertifikate beantragen