=====Public Key Infrastruktur (PKI) für die Ruhr-Universität===== Auf diesen Seiten finden Sie Informationen zur Beantragung und Nutzung persönlicher X.509-Zertifikate und X.509-Serverzertifikate. Die RUB-CA vergibt nur Zertifikate für den Namensraum //ruhr-uni-bochum.de// Hilfreiche Links: * [[pki:zertifikate|Zertifikatskette]] * [[faq:benutzerzertifikat_sichern|Wie sichere ich mein Benutzerzertifikat?]] * [[https://pki.pca.dfn.de/uni-bochum-ca/pub/|RUB-CA Portal]] =====Über die RUB-CA===== Die RUB-CA stellt für die Ruhr-Universität eine Public Key Infrastruktur zur Verfügung. Dadurch soll der Einsatz digitaler Signaturen gefördert werden. Für diesen Zweck signiert die RUB-CA X.509-Zertifikate zum * Signieren und Verschlüsseln von E-Mail (sog. persönliche Nutzerzertifikate) * Signieren von Programmcode (mittels persönlichem Nutzerzertifikat) * Serverauthentifizierung (Server-Zertifikate) für alle Mitglieder und Angehörigen der Ruhr-Universität Bochum. =====Wie bekomme ich ein persönliches Zertifikat?===== ===Lesen Sie die Zertifizierungsrichtlinien=== Die Zertifizierungsrichtlinien regeln die Abläufe innerhalb einer PKI und legen dabei insbesondere die Rahmenbedingungen für die Ausstellung von X.509 Zertifikaten fest. Für die RUB-CA gilt * [[https://info.pca.dfn.de/uni-bochum-ca/cpcps.pdf|Erklärung zum Zertifizierungsbetrieb der RUB-CA in der DFN-PKI]] Weiterhin gelten die Richtlinien der übergeordneten Zertifizierungsinstanz: * [[http://www.pca.dfn.de/dfn-pki/certification/cp/global-classic-basic/x509/|Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic]] * [[http://www.pca.dfn.de/dfn-pki/certification/cps/global-classic-basic/x509/|Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic]] ===Installieren Sie die nötigen Zertifikate in Ihrem Browser=== Damit die Vertrauenswürdigkeit der Kommunikation innerhalb der PKI von Ihrem System anerkannt wird, muss Ihrem Browser das Wurzelzertifikat * {{:pki:deutsche-telekom-root-ca-2.crt|Deutsche Telekom Root CA 2}}\\ SHA1 Fingerabdruck=''85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF''\\ MD5 Fingerabdruck=''74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08'' bekannt sein. Weitere Informationen zum Wurzelzertifikat finden Sie [[pki:zertifikate|hier]]. Aktuelle Browser kennen dieses Zertifikat bereits. Eine Übersicht über den Stand der Integration kann auf den Seiten des [[http://www.pki.dfn.de/integration|DFN-Vereins]] nachgelesen werden. ===Beantragen Sie Ihr persönliches Zertifikat=== **Hinweis:** Während der Beantragung eines Zertifikates wird das Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel erzeugt. Benutzen Sie daher beim Beantragen Ihres Zertifikates einen Browser, auf den nur Sie Zugriff haben und sichern Sie den Browser nach Möglichkeit mit einem Masterpassword. Zum Beantragen Ihres Zertifikates rufen Sie das [[https://pki.pca.dfn.de/uni-bochum-ca/pub/|RUB-CA Portal]] auf, gehen zu → //Zertifikate// → //Nutzerzertifikat// und füllen den Antrag aus. Überprüfen Sie nach einem Klick auf die Schaltfläche //Weiter// unbedingt noch einmal Ihre Angaben. Nach der Bestätigung erzeugt Ihr Browser das Schlüsselpaar und übermittelt der RUB-CA Ihren öffentlichen Schlüssel zur Signierung. Ihr Browser zeigt Ihnen jetzt den dazugehörigen Zertifikatsantrag an, den Sie bitte ausdrucken und ausfüllen. ===Kommen Sie zur Registrierungsstelle der RUB-CA=== Unterzeichnen Sie den Zertifikatsantrag und legen Sie diesen persönlich bei der Registrierungsstelle der Ruhr-Universität vor. Bei der Registrierungsstelle müssen Sie sich mit Ihrem Personalausweis oder einem gleichwertigem Dokument ausweisen. Die Registrierungsstelle finden Sie zur Zeit im: IT.SERVICES der Ruhr-Universität-Bochum Servicecenter Gebäude NA Etage 02/297 Bevor Sie sich auf den Weg machen, sollten sie Kontakt mit der Registrierungsstelle aufnehmen: [[mailto:pki@ruhr-uni-bochum.de|pki@ruhr-uni-bochum.de]] oder telefonisch unter 0234/32-24025. ===Importieren Sie das Zertifikat=== Das signierte Zertifikat bekommen Sie per E-Mail zugestellt. Importieren Sie dieses Zertifikat in dem Browser mit dem Sie den Zertifikatsantrag gestellt haben (in diesem Browser befindet sich ja auch Ihr privater Schlüssel). ===Erzeugen Sie eine Sicherungskopie vom Ihrem Zertifikat und Ihrem privaten Schlüssel=== Denken Sie bitte daran, von Ihrem Zertifikat und Ihrem privaten Schlüssel eine Sicherheitskopie anzulegen und diese auf einem externen Datenspeicher (CD-ROM, USB-Stick etc.) sicher und vor fremden Zugriff zu lagern. Vergeben Sie beim Export des Schlüsselpaares eine sichere Passphrase um die Schlüsseldatei zu sichern. Hinweise zum Sichern Ihres Benutzerzertifikats finden Sie unter: * [[faq:benutzerzertifikat_sichern|Wie sichere ich mein Benutzerzertifikat?]] =====Wie bekomme ich ein Serverzertifikat?===== ===Lesen Sie die Zertifizierungsrichtlinien=== Die Zertifizierungsrichtlinien regeln die Abläufe innerhalb einer PKI und legen dabei insbesondere die Rahmenbedingungen für die Ausstellung von X.509 Zertifikaten fest. Für die RUB-CA gilt * [[https://info.pca.dfn.de/uni-bochum-ca/cpcps.pdf|Erklärung zum Zertifizierungsbetrieb der RUB-CA in der DFN-PKI]] Weiterhin gelten die Richtlinien der übergeordneten Zertifizierungsinstanz: * [[http://www.pca.dfn.de/dfn-pki/certification/cp/global-classic-basic/x509/|Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic]] * [[http://www.pca.dfn.de/dfn-pki/certification/cps/global-classic-basic/x509/|Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic]] ===Generieren Sie ein Schlüsselpaar und ein Zertifikatsantrag (CSR)=== Für Ihren Server müssen Sie selber ein Schlüsselpaar generieren. Der Public Key des Schlüsselpaares wird anschließend innerhalb eines sogenannten Certificate Signing Request zur Zertifizierung an die CA übermittelt. Bei der Vergabe des vollständigen Rechnernamens (DN : distinguished name) müssen Sie folgende Regeln beachten: * Serverzertifikate müssen im Attribut "cn=" einen eindeutigen und im DNS der RUB gültigen Hostnamen enthalten (vorzugsweise in der Domain ruhr-uni-bochum.de) * Im Attribut "cn=" dürfen keine IP-Adressen oder Platzhalter (Wildcards) enthalten sein. * Wird das optionale Attribut "email=" verwendet, muss es eine gültige, vorzugsweise funktionsbezogene Emailadresse, bestenfalls die des Serveradministrators, aus dem Namensraum ruhr-uni-bochum.de enthalten. * Die zulässige Menge an Zeichen umfasst für die Attribute im DN (mit Ausnahme der E-Mail Adresse) die folgenden: A-Z a-z 0-9 ' ( ) + , - . / : = ? Leerzeichen * Für Server im Bereich der RUB-CA lautet der Name: c=DE, [st=Nordrhein-Westfalen, l=Bochum,] o=Ruhr-Universitaet Bochum, ou=, cn=, email= ===Übermitteln Sie den Zertifikatsantrag an die RUB-CA=== Im RUB-CA Portal gehen Sie zu //Zertifikate// → //Serverzertifikat//, laden den zuvor erstellen Zertifikatsantrag (CSR) hoch, füllen die zusätzlich notwendigen Daten aus und drucken die anschließend angezeigte Teilnahmeerklärung aus. ===Kommen Sie zur Registrierungsstelle der RUB-CA=== Unterzeichnen Sie die Teilnahmeerklärung und legen Sie diese persönlich bei der Registrierungsstelle der Ruhr-Universität vor. Bei der Registrierungsstelle müssen Sie sich mit Ihrem Personalausweis oder einem gleichwertigem Dokument ausweisen. Die Registrierungsstelle finden Sie zur Zeit im: IT.SERVICES der Ruhr-Universität-Bochum Servicecenter Gebäude NA Etage 02/297 Bevor Sie sich auf den Weg machen sollten sie Kontakt mit der Registrierungsstelle aufnehmen: [[mailto:pki@ruhr-uni-bochum.de|pki@ruhr-uni-bochum.de]] oder telefonisch unter 0234/32-24025. ===Installieren Sie das Zertifikat=== Das signierte Zertifikat bekommen Sie per E-Mail zugestellt. Das Zertifikat müssen Sie nur noch in Ihrem Server installieren.