Ermitteln der Basisinformationen für ein Server-Zertifikat
Im Zertifikat sind sogenannte Attribute anzugeben, die zusammengenommen den Rechner identifizieren, der das Zertifikat verwendet. Laut Policy sind viele dieser Attribute vorgegeben und werden im Zertifikat entsprechen voreingestellt. Sie müssen lediglich drei Attribute für ein Server-Zertifikat festlegen. Das wichtigste Attribut ist der sogenannte "Common Name". In der Policy ist festgelegt, dass es sich hierbei um den "full qualified domain name" des Rechners handeln muss.
Die Verwendung des "full qualified domain name" (FQDN) als "Common Name"-Attribut im Zertifikat ist wichtig, da sich Browser mit einer Warnungsmeldung beschweren, falls die beiden Namen voneinander abweichen. Dies wiederum ist unerwünscht, da es Benutzer verwirrt.
Ermitteln des CN-Attributs
Ermitteln Sie das "CN-Attribut" durch eine DNS-Anfrage. Sie benötigen hierfür lediglich die IP-Adresse des Rechners, für den Sie das Zertifikat beantragen möchten. Auf einem UNIX-System ist das Kommando zum manuellen Stellen von DNS-Anfragen beispielsweise:
nslookup 134.100.x.y
oder alternativ:
host 134.100.x.y
Beispiel:
minimaus:~> /usr/sbin/host 134.100.31.42
42.31.100.134.in-addr.arpa domain name pointer cookie.rrz.uni-hamburg.de.
minimaus:~>
Ermitteln des EMAIL-Attributs
Das zweite wichtige Attribut benennt eine E-Mail-Adresse, die im Zertifikat eingetragen wird. Sie müssen damit rechnen, dass Anfragen an diese E-Mail-Adresse gerichtet werden, falls es Probleme mit dem Dienst auf dem Rechner gibt, der das Zertifikat verwendet.
Beachten Sie bei der Wahl der E-Mail-Adresse bitte folgenses:
- Die E-Mail-Adresse muss auf "uni-hamburg.de" enden. Erlaubt sind somit E-Mail-Adressen wie beispielsweise "admin@informatik.uni-hamburg.de" oder "postmaster@uni-hamburg.de" jedoch nicht "mustermann@gmx.net"!
- Es muss sich hierbei um eine gültige E-Mail-Adresse handeln. Prüfen Sie daher, ob Sie an die ausgesuchte E-Mail-Adresse tatsächlich eine E-Mail senden können und diese auch ankommt. Ggf. müssen Sie die E-Mail-Adresse erst bei Ihrem E-Mail-Administrator (postmaster) beantragen bzw. als Alias auf Ihre oder eine andere existierende E-Mail-Adresse umlenken lassen. Übrigens muss das E-Mail-Konto nicht notwendigerweise auf dem Rechner liegen, für den Sie das Zertifikat beantragen. Falls Sie Zertifikate für mehrere Rechner beantragen, die Sie selbst administrieren, würden Sie hier z.B. Ihre normale E-Mail-Kennung eintragen, so dass Benutzer Sie erreichen können, falls es Probleme mit der Verwendung des Zertifikats oder des jeweiligen Dienstes gibt.
- Die Antragsstellerin muss Zugriff auf das Postfach haben, das zur gewählten E-Mail-Adresse gehört. Das bedeutet für die Verwendung von Funktionsadressen wie beispielsweise "webmaster@...uni-hamburg.de", dass der Antragssteller das Postfach einsehen können muss. Es dürfen weitere Personen -- in diesem Fall weitere "webmaster" -- Zugriff auf das Postfach haben. Scheidet die Antragsstellerin aus dem Dienst aus, bzw. hat sie keinen Zugriff mehr auf das o.g. Postfach, so ist das Zertifikat zu sperren und für den betroffenen Dienst/Server ein neues Zertifikat zu beantragen.
Ermitteln des OU-Attributs
Mindestens einmal (maximal dreimal) ist das "Organisational Unit"-Attribut (OU-Attribut) anzugeben. Hierbei handelt es sich in der Regel um eine Fakultäts- oder Fachbereichsbezeichnung. Sie können sowohl Fakultät, Fachbereich und zusätzlich eine "Department"-Angabe ins Zertifikat eintragen.
Auch hier gelten einige Regeln:
- Es dürfen für die OU-Attribute nur etablierte Namen und Kurzformen verwendet werden. Erlaubt ist beispielsweise "WISO-Fakultaet" oder "Fachbereich Mathematik".
- Umlaute und "ß" sind nicht erlaubt.
-
Die Reihenfolge sollte von Fakultät über "Department" bzw. Fachbereich zur Gruppen- bzw. Arbeitsbereichsbezeichnung gehen. Beispiel:
OU=MIN-Fakultaet
OU=Fachbereich Informatik
OU=Rechenzentrum - Die OU-Attribute dürfen sich nicht widersprechen! Sie dürfen beispielsweise nicht die "WISO-Fakultaet" in Kombination mit dem "Fachbereich Orientalistik" verwenden, da dieser zur Fakultät für Geistes- und Kulturwissenschaften gehört.
Nächster Schritt
Notieren Sie sich die gesammelten Informationen für den folgenden Schritt. Erstellen Sie nun einen PKCS#10 Antrag für ein Server-Zertifikat.