Shibboleth-Zertifikate

Diese Zertifikate sind für rein interne Zwecke, überwiegend zur Signierung und Verschlüsselung von Shibboleth-Serviceprovidern, vorgesehen. Ihr Vorteil liegt in der l?ngeren Laufzeit von 3 Jahren gegenüber 365 Tagen bei normalen Serverzertifikaten. Allerdings sind diese Zertifikate nicht "browserverankert", d. h. das Stammzertifikat muss erst in den Systemen als vertrauenswürdig konfiguriert werden, um eine gültige Verwendung zu gew?hrleisten.

Die Zertifizierungsstelle wird von der DFN-PKI für uns betrieben. Die Stammzertifikate und Zertifikatkette k?nnen auf der Website unter "CA-Zertifikate" eingesehen werden: https://pki.pca.dfn.de/uni-bamberg-internal-ca/pub

Beantragung

Interne Zertifikate k?nnen auf der Antragsseite der internen CA beantragt werden. Zur Beantragung k?nnen 2 Wege genutzt werden. Es gilt die Zertifizierungsrichtlinie der DFN-PKI. Bitte senden Sie uns keine ausgedruckten Papierantr?ge. Stattdessen schicken Sie den PDF-Antrag ausschlie?lich als digital signierte E-Mail an aai.pki-service(at)uni-bamberg.de.

Schlüsselerzeugung im Browser

  1. Auf der Antragsseite wird über die Schaltfl?che "Serverzertifikat beantragen" direkt im Browser ein Schlüssel generiert und ein dazugeh?riges Zertifikat beantragt. Die Angaben dazu werden im Webformular eingegeben.
    Speichern Sie beim Absenden unbedingt die JSON-Datei ab und merken Sie sich das vergebene Passwort. Dieses wird zum Abholen des Zertifikates ben?tigt.
    Anschlie?end speichern Sie noch den PDF-Antrag über die Schaltfl?che "Zertifikatantragsformular (PDF) herunterladen" auf der sich ?ffnenden Seite ab.
  2. Der PDF-Antrag wird mit einem E-Mail-Zertifikat digital signiert an aai.pki-service(at)uni-bamberg.de gesendet.
  3. Nach der Bearbeitung durch das Team der Abteilung Serverdienste erhalten Sie eine E-Mail mit Informationen und k?nnen das Zertifikat abrufen. Dazu folgen Sie dem Link aus der E-Mail oder klicken die Schaltfl?che "Zertifikat abholen" auf der Antragsseite. Sie ben?tigen nun die zuvor gespeicherte JSON-Datei sowie das dazugeh?rige Passwort.
  4. Anschlie?end k?nnen Sie das erhaltene p12-Zertifikat für ihre Serversoftware verwenden.

CSR-Datei (PKCS#10) einreichen

  1. Ein Schlüsselpaar mit Zertifizierungsanfrage erstellen. Das kann beispielsweise mit folgendem anzupassenden OpenSSL-Befehl durchgeführt werden:

    openssl req -newkey rsa:4096 -md5 -keyout "key_<DNSName>.pem" -out "req_<DNSName>.csr" -subj "/C=DE/O=Otto-Friedrich-Universitaet Bamberg/CN=<DNSName>/emailAddress=<aufgabenbezogene E-Mail-Adresse>"

    wobei <DNSName> = <name>.<K?RZEL>.uni-bamberg.de

    z. B. mit den Werten
    <DNSName> = search.iam.uni-bamberg.de
    <aufgabenbezogene E-Mail-Adresse> = serverdienste@uni-bamberg.de

    Vom DFN-Verein gibt es auch noch eine ausführliche Anleitung zur Nutzung von OpenSSL in der DFN-PKI.
  2. ?ber die Antragsseite wird der Zertifizierungsantrag (die Datei "req_<DNSName>.csr") zur Zertifizierung eingereicht (Schaltfl?che "CSR-Datei (PKCS#10) einreichen"). Dabei wird eine PDF-Datei heruntergeladen.
  3. Der PDF-Antrag wird mit einem E-Mail-Zertifikat digital signiert an aai.pki-service(at)uni-bamberg.de gesendet.
  4. Nach der Bearbeitung durch das Team der Abteilung Serverdienste wird der zertifizierte ?ffentliche Schlüssel per E-Mail als Anhang cert-<Seriennummer>.pem zugestellt.
  5. Anschlie?end k?nnen Sie das Zertifikat cert-<Seriennummer>.pem zusammen mit Ihrem privaten Schlüssel (die Datei "key_<DNSName>.pem") für Ihre Serversoftware verwenden.

Sie haben noch Fragen?

IT-Support
Telefon: +49 951 863-1333
E-Mail: it-support(at)uni-bamberg.de