Shibboleth-Zertifikate

Diese Zertifikate sind für rein interne Zwecke, überwiegend zur Signierung und Verschlüsselung von Shibboleth-Serviceprovidern, vorgesehen. Ihr Vorteil liegt in der längeren Laufzeit von 3 Jahren gegenüber 365 Tagen bei normalen Serverzertifikaten. Allerdings sind diese Zertifikate nicht "browserverankert", d. h. das Stammzertifikat muss erst in den Systemen als vertrauenswürdig konfiguriert werden, um eine gültige Verwendung zu gewährleisten.

Die Zertifizierungsstelle wird von der DFN-PKI für uns betrieben. Die Stammzertifikate und Zertifikatkette können auf der Website unter "CA-Zertifikate" eingesehen werden: https://pki.pca.dfn.de/uni-bamberg-internal-ca/pub

Beantragung

Interne Zertifikate können auf der Antragsseite der internen CA beantragt werden. Zur Beantragung können 2 Wege genutzt werden. Es gilt die Zertifizierungsrichtlinie der DFN-PKI. Bitte senden Sie uns keine ausgedruckten Papieranträge. Stattdessen schicken Sie den PDF-Antrag ausschließlich als digital signierte E-Mail an aai.pki-service(at)uni-bamberg.de.

Schlüsselerzeugung im Browser

  1. Auf der Antragsseite wird über die Schaltfläche "Serverzertifikat beantragen" direkt im Browser ein Schlüssel generiert und ein dazugehöriges Zertifikat beantragt. Die Angaben dazu werden im Webformular eingegeben.
    Speichern Sie beim Absenden unbedingt die JSON-Datei ab und merken Sie sich das vergebene Passwort. Dieses wird zum Abholen des Zertifikates benötigt.
    Anschließend speichern Sie noch den PDF-Antrag über die Schaltfläche "Zertifikatantragsformular (PDF) herunterladen" auf der sich öffnenden Seite ab.
  2. Der PDF-Antrag wird mit einem E-Mail-Zertifikat digital signiert an aai.pki-service(at)uni-bamberg.de gesendet.
  3. Nach der Bearbeitung durch das Team der Abteilung Serverdienste erhalten Sie eine E-Mail mit Informationen und können das Zertifikat abrufen. Dazu folgen Sie dem Link aus der E-Mail oder klicken die Schaltfläche "Zertifikat abholen" auf der Antragsseite. Sie benötigen nun die zuvor gespeicherte JSON-Datei sowie das dazugehörige Passwort.
  4. Anschließend können Sie das erhaltene p12-Zertifikat für ihre Serversoftware verwenden.

CSR-Datei (PKCS#10) einreichen

  1. Ein Schlüsselpaar mit Zertifizierungsanfrage erstellen. Das kann beispielsweise mit folgendem anzupassenden OpenSSL-Befehl durchgeführt werden:

    openssl req -newkey rsa:4096 -md5 -keyout "key_<DNSName>.pem" -out "req_<DNSName>.csr" -subj "/C=DE/O=Otto-Friedrich-Universitaet Bamberg/CN=<DNSName>/emailAddress=<aufgabenbezogene E-Mail-Adresse>"

    wobei <DNSName> = <name>.<KÜRZEL>.uni-bamberg.de

    z. B. mit den Werten
    <DNSName> = search.iam.uni-bamberg.de
    <aufgabenbezogene E-Mail-Adresse> = serverdienste@uni-bamberg.de

    Vom DFN-Verein gibt es auch noch eine ausführliche Anleitung zur Nutzung von OpenSSL in der DFN-PKI.
  2. Über die Antragsseite wird der Zertifizierungsantrag (die Datei "req_<DNSName>.csr") zur Zertifizierung eingereicht (Schaltfläche "CSR-Datei (PKCS#10) einreichen"). Dabei wird eine PDF-Datei heruntergeladen.
  3. Der PDF-Antrag wird mit einem E-Mail-Zertifikat digital signiert an aai.pki-service(at)uni-bamberg.de gesendet.
  4. Nach der Bearbeitung durch das Team der Abteilung Serverdienste wird der zertifizierte öffentliche Schlüssel per E-Mail als Anhang cert-<Seriennummer>.pem zugestellt.
  5. Anschließend können Sie das Zertifikat cert-<Seriennummer>.pem zusammen mit Ihrem privaten Schlüssel (die Datei "key_<DNSName>.pem") für Ihre Serversoftware verwenden.

Sie haben noch Fragen?

IT-Support
Telefon: +49 951 863-1333
E-Mail: it-support(at)uni-bamberg.de