Page tree
Skip to end of metadata
Go to start of metadata

Wer bekommt ein Zertifikat?

Die LRZ-CA stellt Server-Zertifikat aus für:

  • LRZ-eigene Server
  • Server anderer Institutionen (insbes. TUM, LMU und HM), die beim LRZ gehostet werden (Web- oder Server-Hosting)
  • den Bibliotheksverbund Bayern (BVB).

Angehöriger der TUM, die Ihre Server selbst betreiben, können sich an tum-ra@lrz.de wenden. (Nähere Infos siehe auch http://www.it.tum.de/zertifikate/ und https://www.it.tum.de/faq/it-dienste/zertifikate/ .)

Angehöriger der LMU, die Ihre Server selbst betreiben, können sich an lmu-ra@lrz.de wenden. (Nähere Infos sieht auch https://www.serviceportal.verwaltung.uni-muenchen.de/services/it/infrastrukturdienste/ausstellung_zertifikate/index.html#goto404268 - (LMU-Login erforderlich.)


Wie beantragt man ein Zertifikat bei der LRZ-CA?

Das LRZ darf nur (Server-)Zertifikate erstellen, wenn die beantragende Person dafür berechtigt ist. Beantragen Sie Ihr gewünschtes Zertifikat bitte mit einem Ticket, das Sie über diesen Link eröffnen können:

https://servicedesk.lrz.de/ql/create/36

Benutzen Sie bitte den "Self Service" mit Kennung und Paßwort und nicht den "Simple Submit" ohne Login, denn dann können Ihre Berechtigung automatisch überprüfen:



Welche Domain-Namen sind möglich?

Hierfür sind zwei Aspekte zu beachten.

1) Eine CA (Certificate Authority) darf Zertifikate nur ausstellen, wenn der Domain-Inhaber dies explizit erlaubt hat. Dies geschieht über ein E-Mail-Challange-Response-Verfahren.

2) Welche CA für Sie relevant ist, hängt im Wesentlichen davon ab, von welcher Institution Sie kommen. Das LRZ stellt Zertifikate nicht nur im Rahmen der LRZ-CA, sondern auch für eine Untermenge der LMU- und TUM-CA aus.

Die in Punkt 1) erwähnte Erlaubnis muß also für die jeweils zuständige CA erteilt werden. Welche das ist, erfahren Sie auf Anfrage.


Für Standard-Domainnamen ist die nötige Erlaubnis natürlich immer gegeben, etwa für badw.de, lmu.de, lrz.de, tum.de, uni-muenchen.de, mwn.de und eine Reihe weiterer. Die Erlaubnis gilt auch für Subdomains und beliebige Hostnamen darin.

Wollen Sie eine andere Domain nutzen, müssen Sie, wie gesagt, der LRZ-CA / TUM-CA / LMU-CA die Zertifikats-Erlaubnis erteilen. Zunächst teilen Sie uns den gewünschten Domain-Namen mit. Wenn er der LRZ-CA zugeteilt wird, können wir den Eintrag selbst erledigen. Andernfalls müssen wir den Vorgang an die Kollegen der LMU / TUM delegieren.

Nach dem Eintrag wird eine Challenge-Response-E-Mail an eine der folgenden möglichen Adressen geschickt: hostmaster|webmaster|admin|administrator|postmaster@domain oder den Eintrag im Zonen-Kontakt (SOA-Record). Wenn dort hostmaster@lrz.de steht, können wir uns diese Erlaubnis selbst erteilen. Wenn dort so etwas wie hostmaster@strato-rz.de steht, entfällt diese Möglichkeit de facto, weil ein Webhoster nicht für seine Kunden solche Aufträge erledigt.

Der Empfänger erhält dann eine E-Mail mit einem Link auf eine WWW-Seite, auf der er per Mausklick die gewünschte Erlaubnis erteilen kann.

Zu beachten: die Zertifikats-Erlaubnis ist 825 Tage lang gültig. Kurz vor Ablauf dieser Zeitspanne versenden wir eine neue Revalidierungs-Aufforderung. Wird auf diese nicht reagiert, können wir für die entsprechende Domain kein Zertifikat mehr ausstellen und entfernen sie aus unseren Listen. Bestehende Zertifikate werden dadurch jedoch nicht ungültig.


Ein Sonderfall sind Domains, die am LRZ selbst aufliegen. Dort ist immer hostmaster@lrz.de im SOA-Record eingetragen, d.h. wir erteilen uns im Bedarfsfall die Erlaubnis selbst. Allerdings können wir auch in diesem Fall den Eintrag in die CA nicht selbst durchführen, wenn es sich um die LMU- oder TUM-CA handelt.


Im Folgenden wird davon ausgegangen, daß die Zertifikats-Erlaubnis vorliegt.


Wildcard-Zertifikate

Diese sind laut der DFN-PKI-Zertifizierungsrichtlinie und den FAQs ( https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c18092 ) in bestimmten Fällen möglich. Wenden Sie sich in diesem Fall am besten an unsere Hotline (pki@lrz.de).


IP-Adressen

Hierzu legt die DFN-PKI folgendes fest:

Web-Hosting

Besitzen Sie einen am LRZ gehosteten Webserver, müssen Sie gar nichts machen, um ein Zertifikat zu bekommen. Wir erledigen das automatisch. (Wie gesagt vorausgesetzt, daß die Zertifikats-Erlaubnis erteilt ist.)

Falls Sie sich nicht sicher sind, ob Ihr Server am Web-Hosting teilnimmt, dann rufen Sie ihn mal im Browser mit vorangestelltem https:// auf, also etwa so: https://www.xyz.de

Wenn der Server im Web-Hosting ist, dann hat er ein Zertifikat, das aber den Namen Ihres Servers noch nicht enthält. D.h. Sie bekmmen vom Browser eine Zertifikatswarnung. Wenn Sie die Seite trotzdem laden, können Sie sich dann das Zertifikat ansehen. Im Edge-Browser geht das etwa so:

Das Zertifikat, das Sie sich hier anzeigen lassen können, ist eins unserer Sammelzertifikate und sieht etwas so aus: wwwv1. tum.de, wwwv4.lrz.de, wwwv2.mwn.de oder so ähnlich.


Server-Hosting

In diesem Fall sind Sie der Administrator Ihres Servers und können sich Ihr Zertifikat holen, wo Sie wollen, auch am freien Markt (kostenlos z.B. bei https://letsencrypt.org/). Wir empfehlen, daß Sie als Angehöriger der TUM / LMU sich Ihr Zertifikat von dort holen (Ansprechpartner tum-ra@lrz.de bzw. lmu-ra@lrz.de).

Wenn Sie ein Zertifikat von der LRZ-CA möchten, wenden Sie sich bitte an pki@lrz.de.




  • No labels