Die THM bietet in Zusammenarbeit mit dem DFN und dem europäischen Forschungsverbund GÉANT für alle THM-Systeme global vertrauenswürdige SSL/X509-Zertifikate an, sowohl für intern- wie auch extern-erreichbare Systeme, ausgestellt von einer kommerziellen CA.

Folgende Voraussetzungen sind zu erfüllen:

  • Das System verfügt über einen Hostnamen aus einer der offiziellen Domänen der THM.
    Zertifikate für Hostnamen aus internen Domänen, wie z.B. "thm.intern" sind nicht möglich.
  • Der Antragsteller ist Mitarbeiter oder Professor mit Benutzerkonto an der THM.
    Studierende oder Externe können nicht direkt Zertifikate beantragen, sondern benötigen immer einen Mitarbeiter oder Professor als Sponsor.
  • Für Systeme, die der zentralen Rechnerverwaltung unterliegen, muss der Antragsteller dort als Administrator eingetragen sein.

Zum Generieren des PKCS#10-Zertifikatsantrag (auch Certificate Signing Request, CSR genannt) empfehlen wir das weit verbreitete Kommandozeilenwerkzeug "openssl".
Sollte Ihr System einen eigenen Vorgang zum Erzeugen eines CSR haben (z.B. bei ILO/iDRAC oder anderen Netzwerk-Appliances), so nutzen Sie bitte diesen und folgen dabei der spezifischen Anleitung für Ihr System. Starten Sie danach bei Schritt 4 in dieser Anleitung.

Zur manuellen Erzeugung von SSL-Schlüssel und Zertifikats-Antrag gehen Sie dabei bitte wie folgt vor:

  1. Sie erzeugen einen privaten Schlüssel. Dies kann mittels des folgenden Kommandos geschehen:
    openssl genrsa -out beispielserver.key 4096
    Diesen Schlüssel müssen Sie unbedingt geheim halten. Er dient nur dem Server und sollte sonst von niemandem gelesen werden können.
  2. Im zweiten Schritt generieren Sie den PKCS#10-Zertifikatsantrag im PEM-Format. Die Konfigurationsdatei beispielserver.txt müssen Sie zuvor entsprechend editieren.
    Bitte passen Sie folgende Felder an:
    1. localityName_default 
    2. organizationalUnitName_default
    3. commonName_default
    4. DNS.1
    Hat ein System nur einen Namen, so löschen Sie die Einträge DNS.2 und DNS.3.
    Hat ein System dagegen mehrere Namen/Aliase, so können diese in einem Zertifikat genannt werden. Die Beispiel-Konfigurationsdatei ist hierfür schon vorbereitet. Sie müssen dann die Einträge DNS.2 und folgende anpassen und ggfls. um weitere Zeilen in gleichem Schema mit jeweils aufsteigenden Nummern erweitern.
  3. Verwenden Sie danach dann den folgenden Befehl:
    openssl req -batch -config beispielserver.txt -new -key beispielserver.key -out beispielserver.csr
    Dies erzeugt den Zertifikatsantrag (CSR) in der Datei beispielserver.csr.
  4. Suchen Sie nun die öffentliche Webschnittstelle unserer Zertifizierungsstelle auf.
    (Die Website steht aktuell nur in Englischer Sprache zur Verfügung.)
    Beim erstmaligen Login suchen Sie dann den Anmeldeserver der THM durch Eingabe von "THM" als Suchbegriff. Der Login erfolgt dann über den IdP-Dienst der THM mit Ihrer gewohnten Benutzerkennung.
  5. In der Webseite "SSL Certificate Enrollment" können Sie dann den oben erstellten CSR einkopieren oder als Datei hochladen.
    1. Sie können eine automatische Erneuerung des Antrages vor Ablauf des Zertifikates einstellen. Achtung: Dies erstellt automatisiert nur einen neuen Antrag auf ein neues Zertifikat basierend auf den bestehenden Daten. Das neue Zertifikat muss danach erneut in Ihr System von Ihnen installiert werden. Die "Auto Renewal" Option bedeutet nicht, dass das bestehende Zertifikat verlängert wird!
    2. Wählen Sie nun ein Passwort, welches zum Sperren des Zertifikates im Fehlerfall benötigt wird.
    3. Bei "External Requester" können Sie weitere Mail-Adressen hinterlegen, welche ebenfalls über den Status des Zertifikatsantrages sowie über das Ablaufen des Zertifikates informiert werden sollen, z.B. Kollegen oder eine Admin-Mailingliste.
    4. Bei "Comments" können Sie einen internen Kommentar hinterlegen.
    5. Auto Renwal, das Passwort, der External Requester sowie der Kommentar sind optional.
  6. Durch "Enroll" wird der Prozess gestartet und wenn im CSR keine Fehler enthalten sind, wird der Request an die CA gestellt. Weitere Handhabungen Ihrerseits sind nicht notwendig, Formulare in Papier- oder Digital-Form sind nicht mehr nötig.
  7. Nach Prüfung des Antrages durch unserer Teilnehmerservice-Mitarbeiter erhalten Sie (und die unter External Requester aufgeführten Adressen) eine Informationsmail mit Links zum Download des Zertifikates in diversen Formaten, in der Regel benötigt man die Datei, die sich hinter den Link bei "as Certificate (w/ issuer after), PEM encoded:" verbirgt.
    Der Absender der Mails des CA-Systems ist "Certificate Services Manager <support@cert-manager.com>".
  8. Optional:
    Wenn Sie Schlüssel, Zertifikat und Zertifikatskette als PKCS#12-Datei benötigen, so können Sie die vorhandenen Dateien aus den obigen Schritten mit folgendem Kommando umwandeln,
    dabei werden Sie zur Eingabe eines Verschlüsselungspasswortes für die PKCS#12-Datei aufgefordert, welches Sie später zum Import der Datei in Ihre Anwendung benötigen.
    openssl pkcs12 -export -inkey bespielserver.key -in beispielserver.pem -out beispielserver.p12

Benötigen Sie Zertifikate für mehrere Maschinen sind die obigen Punkte für jede Maschine einzeln duchzuführen.