Server-Zertifikate
Digitale Zertifikate für IT-Dienste der TU Chemnitz
Das Verschlüsseln von Datenkommunikationsverbindungen ist seit geraumer Zeit für so ziemlich alle Netzwerkprotokolle ermöglicht worden. Typischerweise kommt das TLS-Verfahren (Transport Layer Security) zum Einsatz, also (auch) Public-Key-Kryptografie. Dazu werden digitale Zertifikate benötigt.
Das Serverzertifikat ist jedoch nur der sichtbare und prominente Teil der Konfiguration. Typischerweise muss man diese Einstellungen in der Serversoftware vornehmen:
- Zertifikat (öffentlich)
- Zertifikatskette (enthält die Zertifikate, die zur Überprüfung der Abstammung von einem vertrauenswürdigen Wurzelzertifikat notwendig sind)
- Schlüssel (geheim)
Das CA/Browser Forum legt die Eigenschaften fest, die für Zertifikate gelten dürfen, damit sie allgemein verwendet werden können. Allgemein verwendbar heißt in diesem Fall: Sie stammen von einem als vertrauenswürdig eingestuften Wurzelzertifikat ab und werden somit in Anwendungssoftware (vor allem Web-Browser) ohne Zusatzeinstellungen akzeptiert. In den letzten Jahren wurde vor allem die Zertifikatsgültigkeitsdauer sehr reduziert. Die jetzt noch erlaubten 398 Tage für Zertifikate unserer Zertifizierungsstelle bedeuten praktisch, dass jedes Serverzertifikat jedes Jahr ausgetauscht (erneuert) werden muss. Da dieser Prozess Verwaltungsaufgaben beinhaltet und wir mehrere Hundert Serverzertifikate ausgestellt haben, ist eine Automatisierung sinnvoll. Die Möglichkeit besteht dazu über das ACME-Verfahren, das bspw. das „Let’s-Encrypt“-Projekt allgemein verfügbar und kostenfrei anbietet.
Zertifikate von Let’s Encrypt
Die DV-Zertifikate von Let’s Encrypt sind 90 Tage gültig. Die Zertifikate enthalten nur die Hostnamen der Systeme, für die sie verwendbar sind. Das reicht aber völlig aus, um damit TLS-Verschlüsselung umzusetzen.
Sowohl die Erstausstellung als auch die Erneuerung von Zertifikaten ist automatisierbar. Wir haben im URZ mit der Software dehydrated gute Erfahrungen gemacht. Es existieren aber auch sehr viele Alternativen, die das ACME-Verfahren umsetzen.
Die Automatisierung beruht auf einer Prüfung jeder Domain, die im Zertifikat enthalten sein soll, per Challenge/Response-Verfahrens. Dieses kann per HTTP-Verfahren für Systeme, die aus dem Internet erreichbar sind, oder per DNS-Verfahren (TXT-Record) durchgeführt werden. Bitte schreiben Sie dazu an ca@…, um Details zur Umsetzung auszutauschen.
Innerhalb unseres Web-Trust-Centers sind auch Let’s-Encrypt-Zertifikate verwendbar, solange der private Schlüssel nicht bei jeder Erneuerung ebenfalls geändert wird.
Zertifikate einer anderen Zertifizierungsstelle
Falls Sie Systeme im Einsatz haben, auf denen die automatischen Prozesse zur Anforderung und Verlängerung von Zertifikaten nicht funktioniert oder Ihr Webdienst als Service Provider in die DFN-AAI-Metadaten eingetragen werden soll, stellen wir im URZ Serverzertifikate über den Trusted Certificate Service von GÉANT (GÉANT TCS, derzeit vom Anbieter HARICA) oder über die DFN-Verein Community PKI aus. Dazu beraten wir Sie, wenden Sie sich bitte an ca@….
