| Komfortsuche | A-Z | Sitemap | FAQ | Kontakt | Druckversion | Glossar | English   | Impressum 

Universität zu Köln

RRZK - Regionales Rechenzentrum

Studierende  |  Mitarbeiter und Einrichtungen  |  Webautoren
Aktuelles
 
Über das RRZK
Benutzung des RRZK
 
Internet-Dienste
Netz-Zugang
Wireless LAN
Instituts-LAN
öffentl. Netzdosen
VPN
Adressen wichtiger Server
WWW
Browser
SSH Rechnerverbindungen
Groupware
Zertifizierungsstelle CA
FTP-Softwarearchive
Betriebsregelungen
E-Mail
Webhosting
HPC/Unix-Server-Systeme
Arbeitsplatzrechner
Datenhaltung
Software/Anwendungen
Multimedia
Uni KölnRRZKInternet-DiensteZertifizierungsstelle CA

Zertifizierungsstelle der Universität zu Köln

Inhalt

Zweck von Zertifikaten

Unverschlüsselte Daten, die über das Internet gesendet werden, können von einem potentiellen Angreifer abgefangen und gelesen werden. Besonders kritisch ist die Übermittlung von Passwörtern oder vertraulichen Daten. Zu diesem Zweck werden diese sensitiven Daten von seriösen Anbietern verschlüsselt übertragen, bei Webseiten erkennbar am Protokollnamen "https" (statt "http"). Zertifikate sorgen - vereinfacht gesprochen - dafür, dass diese Verschlüsselung ohne Zutun des Benutzers im Hintergrund geschehen kann. Damit man sichergehen kann, dass ein Zertifikat auch tatsächlich vom vorgegebenen Anbieter stammt, werden sie von sogenannten Zertifizierungsstellen (engl. "certification authority", CA) signiert und veröffentlicht.

Über die Zertifizierungsstelle (CA) der Universität zu Köln

Seit dem 01.06.2007 ist die Zertifizierungsstelle der Universität zu Köln dem DFN-Verein und damit dem Root-Zertifikat der Deutschen Telekom angeschlossen. Da die Root-Zertifikate der Deutschen Telekom in den gängigen Browsern und Mailklienten (siehe Liste unten) implementiert sind, sind damit auch die Zertifikate der DFN PCA und somit der CA Uni Köln bekannt und erzeugen keine Warnungen. Alle von der CA der Uni Köln ausgestellten oder widerrufenen Zertifikate können auf der folgenden Seite eingesehen werden:

Umgang mit Zertifikaten (Hinweise für Benutzer)

Wie erwähnt bedarf es in der Regel keinerlei gesonderter Aktionen Ihrerseits, wenn Sie auf die Webseiten oder Mailserver der Uni Köln mit einer gesicherten Verbindung zugreifen, sofern Sie eine aktuelle Version eines der folgenden Programme verwenden.

Browser:
  • Microsoft Internet Explorer
  • Mozilla Firefox (ab 3.0.12)
  • Opera (ab Version 10)
  • Apple Safari (ab Snow Leopard)
Mailklienten:
  • Microsoft Outlook
  • Outlook Express / Windows Mail
  • Mozilla Thunderbird (ab 2.0.0.23)
  • Apple Mail.app (ab Snow Leopard)
Sollten Sie jedoch eine ältere Version oder ein etwas "exotisches" Programm (z.B. Eudora, Pine, Mutt, Konqueror, Epiphany) zum Zugriff verwenden, müssen Sie ggf. einmalig die Zertifikate in Ihr Programm importieren. Sie erhalten in diesem Fall eine Warnung Ihres Programms, die bspw. so aussehen könnte:



Um diese Meldungen künftig zu vermeiden, sollten Sie einmalig die Root-Zertifikate unserer CA importieren. Das Importieren der Root-Zertifikate erfolgt am einfachsten über den folgenden Link: Dort werden folgende CA-Zertifikate für einen Import im Browser angeboten:
  • Wurzelzertifikat (Deutsche Telekom),
  • DFN-PCA Zertifikat und
  • UniKoeln CA Zertifikat
Über einen Klick auf die entsprechende Schaltfläche importieren Sie einfach alle genannten Zertifikate in Ihren Browser (für den Zugriff auf die meisten Server genügt zwar das Wurzelzertifikat, Spezialfälle wie z.B. Microsoft Exchange Server benötigen aber ggf. alle drei). Sollte Ihr Browser nun nach dem erlaubten Zweck der Zertifikate fragen, akzeptieren Sie bitte alle Optionen:



Sollten Sie die Zertifikate nicht in Ihrem Browser, sondern in einem anderen Programm (z.B. Mailclient) benötigen, speichern Sie die Zertifikate bitte lokal auf Ihrem PC (rechte Maustaste auf die Schaltflächen, "Ziel speichern unter...") und importieren Sie die gespeicherten Dateien anschließend im gewünschten Programm. Zur genauen Vorgehensweise konsultieren Sie bitte die Dokumentation Ihres Programms (da das Akzeptieren der Zertifikate für Eudora besonders kompliziert ist, hat das RRZK es hier gesondert dokumentiert).

Da vor dem Import der o.a. Zertifikate in der Regel das Zertifikat des o.a. Servers pki.pca.dfn.de dem Browser unbekannt sein wird, wird vorher der übliche Sicherheitshinweis ausgegeben, bei dem eine der beiden ersten beiden Optionen zu wählen ist:



Anmerkung: Sollten Sie (insbesondere mit Firefox bis einschließlich 3.0.11) Probleme haben, auf die o.g. Seite zuzugreifen, importieren Sie bitte zunächst von dieser Seite die dort genannten Root-Zertifikate (im crt-Format).

Beantragen eines eigenen Serverzertifikats

Wenn Sie selbst eine Webseite oder einen Mailserver an der Uni Köln betreuen und für verschlüsselte Verbindungen ein Zertifikat benötigen, gibt es zwei Varianten:
  • Beantragen eines Zertifikats zur Verwendung in einem vom RRZK gehosteten Webserver: Sie finden auf dem Antrag für ein Webprojekt am Rechenzentrum eine Option "SSL". Sofern Sie diese Option bei Ihrem Antrag angekreuzt haben, ist die Erstellung eines Serverzertifikats erforderlich. Bitte vereinbaren Sie hierfür einen Termin mit dem CA-Master-Team zwecks persönlicher Authentifizierung (Personalausweis nicht vergessen). Der Key bleibt in diesem Fall in den Händen des Rechenzentrums.
  • Beantragen eines Zertifikats zur Verwendung in einem selbst betriebenen Server: In diesem Fall erstellen Sie bitte selbst eine Request-Datei und einen Key für Ihr Zertifikat. Sie können dazu die Software "OpenSSL" verwenden, ein korrekter Antrag muss dabei als CommonName (CN) den Namen des Servers und als OrganisationalUnit (OU) den Namen Ihrer Einrichtung (ohne Umlaute) enthalten. Der Aufruf für den Server "webdesign.uni-koeln.de" des "Instituts für Webdesign" sähe demnach so aus (eine Zeile):

    openssl req -newkey rsa:2048 -out req.pem -keyout key.pem -subj '/CN=webdesign.uni-koeln.de/OU=Institut fuer Webdesign/O=Universitaet zu Koeln/L=Koeln/ST=Nordrhein-Westfalen/C=DE'

    Die dabei erzeugte Datei "key.pem" halten Sie geheim (das eingegebene Passwort ebenfalls), die Datei "req.pem" können Sie nun bei der Schnittstelle zur CA nebst einigen weiteren Informationen zum Zertifikatsantrag verwenden (Registerkarte "Zertifikate => Serverzertifikat"). Vereinbaren Sie dann bitte einen Termin mit dem CA-Master-Team zwecks persönlicher Authentifizierung und bringen Sie dabei Ihren Personalausweis und den schriftlichen Antrag mit, den Sie auf der o.g. Schnittstellenseite erhalten.

Beantragen eines eigenen Nutzerzertifikats

Jeder Mitarbeiter der Universität zu Köln (keine Studenten, keine SHKs) kann ein persönliches Zertifikat erhalten, welches zur Verschlüsselung oder Signierung nach dem S/MIME-Standard geeignet ist. Bitte verwenden Sie dazu die folgende Schnittstelle: Wichtig: Bitte melden Sie sich danach unbedingt noch per Mail unter Angabe Ihres Uniaccounts (z.B. "a0646", keine (!) Mailadresse) beim CA-Master-Team zwecks persönlicher Authentifizierung und bringen Sie dabei Ihren Personalausweis und den schriftlichen Antrag mit, den Sie auf der o.g. Schnittstellenseite erhalten.

Alle weiteren Informationen sowie detaillierte Anleitungen für verschiedene Browser und Mailclients finden Sie hier:

Kommentar abgeben

Patrick Holz, 28.08.2009