Erstellen von Serverzertifikaten

Serverzertifikate werden in der Regel in den folgenden Schritten erstellt:

1. Mit Hilfe der Serversoftware (zum Beispiel E-Mail-Server-Software) werden zwei oder drei Dateien erzeugt:
   
   1. ein durch eine "Passphrase" geschützter privater Schlüssel, der sorgfältig vor fremdem Zugriff zu schützen ist (im Folgenden wird angenommen, dass diese Datei key-bamberg.pem heißt),
   2. eine Zertifizierungsanfrage ("request"), mit der ein Zertifikat für den Schlüssel angefordert werden kann; diese Anfrage enthält den zum privaten Schlüssel passenden öffentlichen Schlüssel (im Folgenden wird angenommen, dass diese Datei req-bamberg.pem heißt),
   3. bisweilen auch ein selbstzertifizierter öffentlicher Schlüssel (zum Beispiel in einer Datei cert.pem)
2. Über die angebotene Online-Schnittstelle wird der Zertifizierungsantrag (die Datei req-bamberg.pem) zur Zertifizierung eingereicht. Dabei wird ein schriftlicher Antrag gedruckt.
3. Mit dem schriftlichen Antrag kann der Antragsteller bei den Operateuren des Rechenzentrums persönlich vorsprechen und seine Angaben von dieser Stelle bestätigen lassen. (Dazu haben die Operateure eine eigene Online Schnittstelle).
4. Danach - in der Regel innerhalb weniger Minuten - wird dem Antragsteller der zertifizierte öffentliche Schlüssel per E-Mail mit einem Anhang cert-nnnnnnn.pem zugestellt.
5. Die Datei cert-nnnnnnn.pem ist in die jeweilige Serversoftware zu importieren.

Wichtig:

• Das Rechenzentrum stellt grundsätzlich nur Zertifikate für Servernamen aus, deren Domäne die Universität Bamberg besitzt (Domaininhaber=Otto-Friedrich-Universität Bamberg), insbesondere für Servernamen in der Domäne uni-bamberg.de und in Subdomänen zu uni-bamberg.de.
• Diese Servernamen können nicht willkürlich gewählt werden. Das insbesondere von E-Mail-Adressen und WWW-URLs bekannte Kürzelverzeichnis bzw. Organisationsverzeichnis der Universität Bamberg gilt auch für die Vergabe von Subdomänen bzw. Servernamen zu uni-bamberg.de und für die in Zertifikaten optional anzugebenen Namen der Organsitionseinheiten, die der Struktur der Servernamen entsprechen sollten.

In Einzelfällen ist es vorgekommen, dass der von der Serversoftware erzeugte Request nicht mit der "Policy" der Zertifizierungsstelle verträglich war. Als Ausweg wurden die in 1) genannten Dateien mit OpenSSL erzeugt. Danach liefen die genannten Schritte entsprechend ab. Weitere Informationen dazu enthalten die zum Erzeugen eines Requests verwendete Windows-Batch-Datei, die an die "Policy" der Universität Bamberg angepasste OPEN-SSL-Konfigurationsdatei und die zum Anzeigen eines Request verwendete Batch-Datei. (Die Batch-Dateien sind vor Verwendung von .txt in .bat umzubenennen). Vom DFN-Verein gibt es eine ausführliche "Anleitung zur Nutzung von OpenSSL in der DFN-PKI" .