Serverzertifikate werden genau wie Nutzerzertifikate über die öffentliche Webschnittstelle der Registrierungsstelle beantragt. Beim "Beantragen eines Zertifikates" ist die Option "Zertifikatsantrag für Server" zu wählen. Um einen Antrag zu erstellen ist ein PEM-formatierter PKCS#10-Zertifikatsantrag hochzulagen.

Um diesen zu erzeugen, stellen wir für das Tool openssl eine Beispiel-Konfigurationsdatei meinserver.txt bereit, die Sie anpassen müssen.

Der darin enthaltene Subject DN muss das folgende Format besitzen:

countryName  DE
organizationName Technische Hochschule Mittelhessen
organizationalUnitName Kürzel Ihres Fachbereiches oder Sachgebietes 
commonName Vollständiger DNS-Name des Rechners
emailAddress Ihre Kontaktadresse (Hier muss eine Adresse der THM eingetragen werden.)

Wichtig: Des Weiteren ist im Abschnitt [alt_names] am Ende der Datei der Eintrag DNS.1 auf den gleichen Wert wie commonName zu setzen. Der Eintrag DNS.1 muss dabei immer vorhanden sein. Weitere optionale alternative Namen sind dann gemäß dem Beispiel möglich.

Zum Generieren des PKCS#10-Zertifikatsantrag empfehlen wir das weit verbreitete Kommandozeilenwerkzeug "openssl". Gehen Sie dabei bitte wie folgt vor:

  • Sie erzeugen einen privaten Schlüssel. Dies kann mittels des folgenden Kommandos geschehen:
         "openssl genrsa -out meinserver.key 4096"
    Diesen Schlüssel halten sie bitte geheim. Er dient nur dem Server und sollte sonst von niemandem gelesen werden können.
  • Im zweiten Schritt generieren Sie den PKCS#10-Zertifikatsantrag im PEM-Format. Verwenden Sie hierzu den folgenden Befehl:
        "openssl req -batch -config meinserver.txt -new -key meinserver.key -out meinserver.csr"
    Die Konfigurationsdatei meinserver.txt müssen Sie zuvor entsprechend anpassen.
  • Suchen Sie nun die öffentliche Webschnittstelle unserer Registrierungsstelle auf und füllen Sie den "Zertifikatsantrag für Server" aus.
    Sie müssen der Veröffentlichung des Serverzertifikates zwingend zustimmen, da sonst das Zertifikat von der CA nicht ausgestellt werden kann. Weitere Informationen zur Öffentlichkeit von Zertifikaten finden Sie im Blog der DFN PKI.
    Der Vorgang schließt mit dem Ausdrucken des fertigen vorbereiteten Antrages ab. Unterschreiben Sie bitte den Antrag und kommen Sie damit zu den Räumlichkeiten der Abteilung IT-Services oder senden Sie uns den Antrag via Hauspost zu.

Benötigen Sie Zertifikate für mehrere Maschinen sind die Punkte 1-3 für jede Maschine einzeln duchzuführen. Hat ein System mehrere Namen/Aliase, so können diese in einem Zertifikat genannt werden. Die Beispiel-Konfigurationsdatei ist hierfür schon vorbereitet.

Die Anträge senden Sie bitte unterschrieben via Hauspost an ITS oder besuchen Sie uns zu den üblichen Dienstzeiten.

Das fertige Zertifikat erhalten Sie, nachdem die Bearbeitung Ihres Antrages abgeschlossen ist, in einer E-Mail.