Howto: Server-Zertifikate beantragen und verwenden
Falls Sie einen Rechner am Netz der UHH betreiben und die Verbindungen zu Diensten ("Services") auf diesem Rechner absichern wollen, dann sollten Sie für den Rechner ein Server-Zertifikat der UHH Server-CA beantragen. Nach erfolgreicher Installation ergeben sich dann folgende Vorteile für Sie und Benutzer Ihrer Services:
- Das Zertifikat ist Grundlage für verschlüsselte, authentifizierte und manipulationsfreie Datenübertragung von und zu dem jeweiligen Dienst.
- Nach einmaligem Import der CA-Zertifikate in die Programme der Benutzer, beispielsweise Browser und E-Mail-Client, werden die von der UHH Server-CA ausgestellten Zertifikate automatisch von den Programmen der Benutzer akzeptiert. Die Benutzer werden nicht mehr mit Meldungen zum manuellen Überprüfen der vom Server ausgelieferten Zertifikate verwirrt.
- Das gleiche gilt für Benutzer und Dienste anderer Einrichtungen, die ebenfalls Teil der DFN-PKI sind. Kontaktiert ein Benutzer einer teilnehmenden Einrichtung Ihren Dienst, wird auch bei diesem Benutzer Ihr Zertifikat automatisch akzeptiert.
- Benutzer, die persönliche Zertifikate der UHH-CA besitzen, können sich mit diesen anstelle von Passworten bei Ihren Diensten authentifizieren, falls Sie Ihre Dienste entsprechend konfigurieren. Dies ist ein wesentlicher Schritt in Richtung "Single-Sign-On".
Um ein Server-Zertifikat zu erhalten, müssen Sie die folgenden Punkte bearbeiten. Diese Formalitäten sind entweder aufgrund der Richtlinien (Policies) der DFN-PKI oder aus organisatorischen Gründen erforderlich. Das Ziel ist es, nur Zertifikate an Personen auszugeben, die nachweislich die im Zertifikat benannten Rechner, bzw. Dienste auf dem im Zertifikat benannten Rechner, betreuen.
- Ermitteln Sie die Basisinformationen über den Rechner, für den Sie ein Zertifikat beantragen möchten.
- Erstellen Sie einen PKCS#10-konformen Zertifikatsantrag "Certificate Request".
- Senden Sie den Antrag an eine "akkreditierte Person" Ihrer Einrichtung zur eigentlichen Beantragung.
- Installieren Sie das Zertifikat auf dem jeweiligen Rechner und konfigurieren Sie die Dienste für die Verwendung des Zertifikats und weiterer PKI-Informationen.