Seite druckenPDF Version herunterladenSeitenstruktur anzeigenSeite durchsuchen
nach oben

 

Ermitteln der Basisinformationen für ein Server-Zertifikat

Im Zertifikat sind sogenannte Attribute anzugeben, die zusammengenommen den Rechner identifizieren, der das Zertifikat verwendet. Laut Policy sind viele dieser Attribute vorgegeben und werden im Zertifikat entsprechen voreingestellt. Sie müssen lediglich drei Attribute für ein Server-Zertifikat festlegen. Das wichtigste Attribut ist der sogenannte "Common Name". In der Policy ist festgelegt, dass es sich hierbei um den "full qualified domain name" des Rechners handeln muss.

Die Verwendung des "full qualified domain name" (FQDN) als "Common Name"-Attribut im Zertifikat ist wichtig, da sich Browser mit einer Warnungsmeldung beschweren, falls die beiden Namen voneinander abweichen. Dies wiederum ist unerwünscht, da es Benutzer verwirrt.

Ermitteln des CN-Attributs

Ermitteln Sie das "CN-Attribut" durch eine DNS-Anfrage. Sie benötigen hierfür lediglich die IP-Adresse des Rechners, für den Sie das Zertifikat beantragen möchten. Auf einem UNIX-System ist das Kommando zum manuellen Stellen von DNS-Anfragen beispielsweise: 

nslookup 134.100.x.y

oder alternativ:

host 134.100.x.y

Beispiel:

minimaus:~> /usr/sbin/host 134.100.31.42
42.31.100.134.in-addr.arpa domain name pointer cookie.rrz.uni-hamburg.de.
minimaus:~>

Ermitteln des EMAIL-Attributs

 

Das zweite wichtige Attribut benennt eine eMail-Adresse, die im Zertifikat eingetragen wird. Sie müssen damit rechnen, dass Anfragen an diese eMail-Adresse gerichtet werden, falls es Probleme mit dem Dienst auf dem Rechner gibt, der das Zertifikat verwendet.

Auch in diesem Fall schreibt die Policy zwei Details vor:

 

  1. Die eMail-Adresse muss auf "uni-hamburg.de" enden. Erlaubt sind somit eMail-Adressen wie beispielsweise "admin@informatik.uni-hamburg.de" oder "postmaster@uni-hamburg.de" jedoch nicht "mustermann@gmx.net"!
  2. Es muss sich hierbei um eine gültige eMail-Adresse handeln. Prüfen Sie daher, ob Sie an die ausgesuchte eMail-Adresse tatsächlich eine eMail senden können und diese auch ankommt. Ggf. müssen Sie die eMail-Adresse erst bei Ihrem eMail-Administrator (postmaster) beantragen bzw. als Alias auf Ihre oder eine andere existierende eMail-Adresse umlenken lassen. Übrigens muss das eMail-Konto nicht notwendigerweise auf dem Rechner liegen, für den Sie das Zertifikat beantragen. Falls Sie Zertifikate für mehrere Rechner beantragen, die Sie selbst administrieren, würden Sie hier z.B. Ihre normale eMail-Kennung eintragen, so dass Benutzer Sie erreichen können, falls es Probleme mit der Verwendung des Zertifikats oder des jeweiligen Dienstes gibt.

 

 

Ermitteln des OU-Attributs

 

Laut Policy müssen Sie mindestens einmal (maximal dreimal) das "Organisational Unit"-Attribut (OU-Attribut) angeben. Hierbei handelt es sich in der Regel um eine Fakultäts- oder Fachbereichsbezeichnung. Optional können Sie sowohl Fakultät, Fachbereich und zusätzlich eine "Department"-Angabe ins Zertifikat eintragen.

Auch hier gelten einige Regeln:

 

  1. Es dürfen für die OU-Attribute nur etablierte Namen und Kurzformen verwendet werden. Erlaubt ist beispielsweise "WISO-Fakultaet" oder "Fachbereich Mathematik".
  2. Umlaute und "ß" sind nicht erlaubt.
  3. Die Reihenfolge sollte von Fakultät über "Department" bzw. Fachbereich zur Gruppen- bzw. Arbeitsbereichsbezeichnung gehen. Beispiel:

    OU=MIN-Fakultaet
    OU=Fachbereich Informatik
    OU=Rechenzentrum

  4. Die OU-Attribute dürfen sich nicht widersprechen! Sie dürfen beispielsweise nicht die "WISO-Fakultaet" in Kombination mit dem "Fachbereich Orientalistik" verwenden, da dieser zur Fakultät für Geistes- und Kulturwissenschaften gehört.

 

 

Nächster Schritt

 

Notieren Sie sich die gesammelten Informationen für den folgenden Schritt. Erstellen Sie nun einen PKCS#10 Antrag für ein Server-Zertifikat.

Autor: UHH CA, Stand: 27.08.2007 14:30 Uhr
 Impressum