Serverzertifikat (SSL-Zertifikat) beantragen

Voraussetzungen

Eine gültige  Benutzerkennung.

Antragstellung, Genehmigung und Zertifikatsdownload

Die Beantragung eines Serverzertifikates wird in den folgenden Verfahrensschritten dargestellt:

1. Zugang zum Webformular:
   Über die Zertifizierungsstelle HARICA wird das Antragsformular ( Antrag - Serverzertifikat) aufgerufen.

2. Login-Methode:
   Die Option Academic Login ist hierbei auszuwählen.

Die zugehörige Universität ist auszuwählen (hier: Universität Osnabrück). Dazu wird der Suchbegriff Osnabrück in das Eingabefeld Find your Institution eingegeben. Aus der Trefferliste ist die Universität Osnabrück auszuwählen.

Es erscheint das Anmeldeportal myUOS der Universität Osnabrück. Hier erfolgt die Benutzerauthentifizierung mit den folgenden Eingabedaten:

• Benutzername: die persönliche Kennung (hier: xmuster)
• Passwort: das zur Benutzerkennung gehörende Passwort

Über die Schaltfläche Anmelden startet der Authentifizierungsprozess.

Die NAAI (Niedersächsische Authentifizierungs- und Autorisierungsinfrastruktur) zeigt die an HARICA übermittelten Nutzerdaten an. Die Zustimmung zur Datenübermittlung erfolgt über die Schaltfläche Akzeptieren.

Nach der Authentifizierung erfolgt die Weiterleitung zur Webseite der HARICA-Zertifizierungsstelle. Im linken Menü der Schnittstelle ist inks unter Certificate Request der Request-Typ Server auswählen. Es werden folgende Angaben für den Zertifikatsantrag (Request) erwartet:

• Friendly name (optional): (hier: mein-server)
• Add Domains Manually or via Import: Dieses Feld erwartet den Servernamen (hier: mein-server.uni-osnabrueck.de), der durch das Zertifikat abgesichert werden soll.
• Optionsfeld "Include www.mein-server.uni-osnabrueck.de ....": Die Option ist zu deaktivieren, da sonst bei Ausstellung des Zertifikats die Top-Level-Domäne www doppelt vergeben wird.
• + Add more domains: Sofern weitere Servernamen [SANs (Subject Alternative Names)] über das Zertifikat abgesichert werden sollen, sind diese hier anzugeben.

Der Beispielserver, für den das Zertifikat beantragt wird, hat den alternativen Servernamen mein-server.uos.de. Dieser Name wird nun in das neu geöffnete Eingabefeld eingetragen. Auch hier ist das Optionsfeld "Include www.mein-server.uni-osnabrueck.de ...." abzuwählen, um bei der Zertifikatsausstellung die Verdoppelung der Top-Level-Domäne www zu verhindern. Sofern weitere Servernamen vorhanden sind, können diese nun vergeben werden. Ist die Liste der vorhandenen Servernamen vollständig, wird die Beantragung des Serverzertifikats mit der Schaltfläche Next fortgesetzt.

Im nächsten Beantragungsschritt ist der Typ des zu beantragenden Zertifikats auszuwählen. Im vorliegenden Beispiel wird der kostenlose Zertifikatstyp For enterprises or organizations (OV) ausgewählt.

Die Bestellung wird zur Überprüfung noch einmal angezeigt. Alternativ angegebene Servernamen werden jedoch erst in einem späteren Dialog dargestellt.

Die Informationen zur Organisationseinheit werden aufgelistet und in den Zertifikatsantrag aufgenommen. Mit Next wird der Vorgang fortgesetzt.

In der folgenden Zusammenfassung der Antragsdaten für das Serverzertifikat werden nun alle Servernamen angezeigt, die in das Zertifikat aufgenommen werden sollen. Die Terms of Use, die Certification Practice von HARICA und das Data Privacy Statement sind zu prüfen und zu bestätigen. Anschließend wird mit der Schaltfläche Next der nächste Schritt des Zertifikatsantrags eingeleitet.

Nun zu entscheiden, ob der CSR (Certificate Signing Request), also ob die Anfrage auf ein digitales Zertifikat, automatisch generiert werden soll. Bei dieser Option, die auch im folgenden Beispiel verwendet wird, wird der für die Anfrage benötigte Private Key automatisch im Browser erzeugt und der CSR automatisch generiert. Die Option Submit CSR manually bietet sich an, wenn der Request und der Private Key mithilfe von Tools wie OpenSSL erzeugt wurden und der CSR als Datei vorliegt.

Für die Erzeugung des Private Keys im Browser wird im Eingabefeld Set a Passphrase ein Passwort erwartet. Dieses Passwort ist frei wählbar und muss durch erneute Eingabe in das Eingabefeld Repeat passphrase verifiziert werden. Die Optionsfelder "I understand that this passphrase is under my sole ...." sowie die Bestätigung der Annahme der Terms of Use, der Certification Practice von HARICA und des Data Privacy Statements sind auszuwählen. Abschließend ist die Schaltfläche Generate Private Key, CSR, and submit order zu nutzen.

Der private Schlüssel wird erzeugt und muss umgehend und unbedingt heruntergeladen werden. Dies ist ausschließlich in diesem Schritt des Zertifikatsantrags möglich und zu keinem späteren Zeitpunkt!

Nach dem Download des Private Keys ist dies über das Optionsfeld "I have downloaded my private Key" zu bestätigen. Der CSR (Certificate Signing Request) wurde gestellt. Über die Schaltfläche Go back to dashboard gelangt man zum Dashboard.

Im Dashboard wird der CSR (Certificate Signing Request) mit dem Status Waiting for: 1 task angezeigt. Die HARICA-CA prüft derzeit die Angaben des Antrags und stellt das Zertifikat nach erfolgreicher Verifizierung aus. Der Antragsteller erhält eine E-Mail, sobald HARICA das Zertifikat ausgestellt hat.

Sobald das Serverzertifikat ausgestellt ist, versendet HARICA eine E-Mail (siehe Abbildung). Über den in der E-Mail enthaltenen Link gelangt man zum HARICA-Dashboard. Alternativ ist das Dashboard auch über folgenden Link erreichbar: [ HARICA - Dashboard].

Das Serverzertifikat steht nun zum Download bereit.

Das Serverzertifikat wird in verschiedenen Formaten angeboten. Standard ist das Format PEM, das beispielsweise für das Absichern von Webservern genutzt wird.