Navigation und Service

Zertifikate der DFN-PKI und deren Einsatz im Forschungszentrum Jülich

Diese Seiten beinhalten Web-Links zum Beantragen und Verwalten sogenannter X.509v3-Zertifikate, die vor allem zur Absicherung der Kommunikation mit E-Mail-Partnern und Servern benutzt werden. Die vom JSC ausgestellten Zertifikate gehören zur DFN-PKI (Public Key Infrastructure). Die Zertifizierungsstellen dieser PKI werden von der DFN-Cert Services GmbH betrieben.

Informationen zu Zertifikaten und ihrem Einsatz im Forschungszentrum Jülich finden sich in der Technischen Kurzinformation TKI-0365

Vorgaben zur korrekten Verwendung von Zertifikaten aus der DFN-PKI durch die Zertifikatinhaber sind in dem Dokument "Informationen für Zertifikatinhaber" beschrieben.

Die DFN-PKI stellt zwei Kategorien von Zertifikaten zur Verfügung: Grid-Zertifikate und Global-Zertifikate. Grid-Zertifikate werden ausschließlich für die weltweite Zusammenarbeit von Grid-Projekten verwendet.

Für alle weiteren Anwendungsfälle verwenden Sie bitte Global-Zertifikate.

Global-Zertifikate können beantragt werden für:

  • FZJ-Mitarbeiter mit gültiger Emailadresse v.name@fz-juelich.de
  • Funktionsgruppen mit gültiger Funktionsmailadresse. Das Namensfeld in diesen Zertifikaten unterscheidet sich formal vom Namensfeld normaler Nutzerzertifikate. Um klar anzuzeigen, dass es sich um ein Zertifikat handelt, das ggfs. von mehreren Personen verwendet wird, muss in diesem Fall im Namensfeld des Zertifikatsantrags der Name der Funktionsgruppe mit vorangestelltem GRP: eingetragen werden. Der Antragsteller muss der Inhaber der Funktionsmailadresse sein.
  • externe Zertifikatnehmer, sofern sich aus einer Kooperation mit dem Forschungszentrum die Notwendigkeit ergibt. In diesem Fall muss dem Namen in den Zertifikatsdaten EXT: vorangestellt werden (EXT:Gabi Mustermann)
  • Code Signing. Der Zertifikatantrag sollte in diesem Fall als persönliches Zertifikat (am besten als Pseudonymzertifikat mit einem Namen der Form "PN: <Vorname Nachname> - CodeSigning") oder als Gruppenzertifikat ("GRP: <Gruppenname> - CodeSigning ") gestellt werden.
  • Server im JuNet

Beantragen eines Benutzerzertifikats

Die vom DFN-Verein zur Verfügung gestellte Webschnittstelle unterstützt den Benutzer

  • beim Erzeugen eines Schlüsselpaares
  • bei der Fertigstellung eines Zertifikatantrags, der unterschrieben und zusammen mit dem Personalausweis/Reisepass dem Teilnehmerservice im JSC (Dispatch, 5642) vorgelegt werden muss. Sofern die persönliche Identifizierung nicht älter als 39 Monate ist, reicht es aus, den Antrag per Post, Fax oder signierter Email an das Dispatch zu schicken.

Die Mitarbeiter der Außenstellen können die persönliche Identifizierung auch jeweils vor Ort durchführen (Kontakt bei PTJ Berlin: +49 30 20199-460, Kontakt bei PTJ Rostock: +49 381 20356-299, Kontakt JCNS in Jülich: +49 2461 61 2498, Kontakt in Erlangen: +49 9131 85-20843, Kontakt in Münster: +49 251 83-30008).

Wenn alle Voraussetzungen erfüllt sind, wird der Teilnehmerservice die Zertifizierung des öffentlichen Schlüssels initiieren. Über die Fertigstellung des Zertifikats wird der Antragsteller per Email informiert. Mittels eines Links in dieser Email kann dann das Zertifikat in den Browser importiert werden, mit dem das Schlüsselpaar erzeugt wurde.

___________________________________________________________________________________________

Für Windows-Benutzer, die ihr Zertifikat in Microsoft-Anwendungen (z.B. Outlook) verwenden möchten, empfiehlt es sich, für die Beantragung den Internet Explorer zu nutzen.

Achtung: die Beantragung von Zertifikaten mit Edge ist nicht möglich.

Beantragung eines Nutzerzertifikats mit dem Internet Explorer


___________________________________________________________________________________________

Bei Nutzung anderer Browser wie Firefox oder Chrome umfasst der Beantragungsvorgang die folgenden, zeitlich aufeinander folgenden Schritte (siehe auch Beantragung eines Nutzerzertifikats mit dem Firefox)

  1. Navigieren Sie zu den Antragsseiten für Nutzerzertifikate https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/2100
  2. Wählen Sie Ein neues Nutzerzertifikat beantragen aus.
  1. Tragen Sie auf der Antragsseite Ihren Namen, Ihre Emailadresse, (optional) das Kürzel Ihrer Organisationseinheit und die Sperr-PIN ein ein. Die persönliche Notiz dient lediglich zu Ihrer Information und kann weggelassen werden.
  2. Nach Drücken von Weiter kann der Antrag nochmals kontrolliert und ggfs. geändert werden.
  1. Mit Antragsdatei speichern wird der Antrag abgesendet und es wird eine lokale Sicherungsdatei erzeugt, die gespeichert werden muss.

Achtung: Nach dem Hochladen der Antragsdatei fragt Firefox in einem Pop-Up-Fenster, wie mit der Antragsdatei verfahren werden soll. In diesem Dialog muss explizit "Datei Speichern" markiert werden, bevor OK gedrückt wird.

Da diese Antragsdatei auch den privaten Schlüssel enthält, muss sie durch ein Passwort geschützt werden. Der Download-Ordner ist in den Browser-Einstellungen festgelegt.

  1. Mit Zertifikatantragsformular (PDF) herunterladen bekommt man das Antragsformular zum Drucken oder Speichern in Form einer PDF-Datei. Es muss dem JSC-Dispatch unterschrieben vorliegen, damit das Zertifikat ausgestellt werden kann. Zu weiteren Einzelheiten bei der Beantragung eines persönlichen Zertifikats und zum Teilnehmerservice: s.u.
  2. Die Fertigstellung eines Zertifikates wird durch eine signierte Email von dfnpki-mailsender-noreply@dfn-cert.de mitgeteilt. Diese Mail enthält Web-Links, checken Sie daher bitte ggfs. auch Ihren SPAM-Ordner.
  3. Folgen Sie bitte dem Link zu Ihrem eigenen Zertifikat und wählen Sie die Antragsdatei aus, die Sie bei der Antragsstellung gespeichert haben. Nach Eingabe des Passworts drücken Sie Weiter.
  4. Mit Zertifikatdatei speichern können Sie nun eine PKCS#12-Datei generieren. Diese Datei enthält neben dem Zertifikat auch den dazu gehörenden privaten Schlüssel des Inhabers. Sie muss daher mit einem starken Passwort geschützt werden. Die Datei kann nun in Anwendungen, z.B. in Thunderbird oder zur Nutzung mit Outlook in den Windows-Zertifikatsspeicher importiert werden

___________________________________________________________________________________________

Der unterschriebene Zertifikatantrag muss an den Teilnehmerservice im JSC (Dispatch) übermittelt werden.

Achtung: Im Falle von Benutzerzertifikaten ist beim Erstantrag eine persönliche Authentifizierung des Antragsstellers unter Vorlage des Antrags und eines amtlichen Lichtbildausweises erforderlich. Bei einem Folgeantrag ist diese Authentifizierung nicht erforderlich, wenn die letzte Authentifizierung weniger als 39 Monate zurück liegt. In diesem Fall kann der unterschriebene Antrag auch per Post oder als Anhang einer elektronisch signierten Mail an dispatch.jsc[at]fz-juelich.de geschickt werden.

Nach der Erzeugung des Zertifikats wird der Antragsteller per Mail über die Fertigstellung benachrichtigt. In dieser Mail sind Links enthalten, die zum Import des Zertifikats (und der Zertifikate der Zertifizierungsstellen) genutzt werden können.

Diese Mails sind elektronisch signiert. Absender und Inhaber des Signaturzertifikats ist dfnpki-mailsender-noreply@dfn-cert.de

Beantragen von Serverzertifikaten (Global)

Die Server müssen in der Junet-DB gegebenenfalls mit den zugehörigen Subject Alternative Names (SAN) eingetragen sein. Antragsberechtigt sind die in der Junet-DB hinterlegten jeweiligen Administratoren der Server.

Achtung: Beim Erstantrag ist eine persönliche Authentifizierung des Administrators unter Vorlage des Antrags und eines amtlichen Lichtbildausweises beim JSC-Dispatch (Tel: +49 2461 61 5642) erforderlich. Sofern die persönliche Identifizierung nicht länger als 39 Monate her ist, reicht es aus, den Antrag per Post oder als Anhang einer elektronisch signierten Email an dispatch.jsc[at]fz-juelich.de zu schicken.

Zur Beantragung eines Server-Zertifikates muss zunächst ein Certificate Signing Request (CSR) erzeugt werden. Dieser wird anschließend mit Hilfe der Web-Schnittstelle in den Zertifikatantrag eingebunden. Die Mindestlänge von RSA-Schlüssel in der Global-Hierarchie beträgt 2048 Bytes.

Um den Request zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt openssl. Bei der Dokumentation findet sich eine OpenSSL-Kurzreferenz des DFN.

In jedem Fall sind bei diesem Prozess Angaben zu machen, aus denen der eindeutige Name des Zertifikats-Subjects gebildet wird. In der Zertifizierungsrichtlinie der FZJ-CA ist festgelegt, dass sich das Subject aus folgenden - ggfs. [optionalen] - Attributen bildet:

  • C=DE
  • ST=Nordrhein-Westfalen
  • L=Juelich
  • O=Forschungszentrum Juelich GmbH
  • [OU=(Organisationseinheit)] (optional)
  • CN=(voll qualifizierter Name des Servers)
  • EMail=(Mail-Adresse des Administrators)

Bitte beachten Sie unbedingt die folgenden Hinweise:

  • Bitte beachten Sie Groß- und Kleinschreibung.
  • Der zu verwendende Zeichensatz findet sich im CPS (Abschnitt 3.1.4), insbesondere dürfen Umlaute und ß nicht verwendet werden

Erzeugen der Schlüssel und des Certificate Signing Requests (CSR) für Server mit openssl

Dick gedruckt sind in der folgenden ssl-Sequenz die Felder, für die Eingaben gemacht werden müssen. Um sicherzustellen, dass die anderen Felder leer bleiben, muss dort bei Benutzung von openssl ein Punkt eingegeben werden. Das eingegebene Passwort (PEM pass phrase) dient zum Schutz Ihrer Schlüssel und darf nicht verloren gehen.
Bei der Erzeugung eines Server-CSR muss beim common name (CN) der vollständige Rechnername eingetragen werden. Die folgende Emailadresse muss dann diejenige des Systemadministrators sein.

____________________________________________________________________

openssl req -newkey rsa:2048 -keyout key.pem -out servername_CSR.pem

Generating a 2048 bit RSA private key
..........................+++
...........................................+++
writing new private key to 'key.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) [ ]:Juelich
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Forschungszentrum Juelich GmbH
Organizational Unit Name (eg, section) [ ]:.
Common Name (eg, YOUR name) [ ]:rechner.name.kfa-juelich.de
Email Address [ ]:g.mustermann@fz-juelich.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password [ ]:.
An optional company name [ ]:.

____________________________________________________________________

 

Die Ausführung des openssl-Kommandos erzeugt zwei Dateien:

  • key.pem enthält den privaten Schlüssel, diese Datei ist durch das eingegebene Passwort geschützt und muss sorfältig aufbewahrt werden.
  • servername_CSR.pem: Diese Datei enthält den Certificate Signing Request, der von der Registrierungsstelle im ZAM nach Prüfung Ihrer Angaben und Ihres Ausweises an DFN-CERT Servicesübermittelt wird, wo dann das Zertifikat erzeugt wird. Der Inhalt des Requests kann zur Kontrolle mit dem Befehl
    openssl req -noout -text -in g.mustermann_CSR.pem
    gelistet werden.

Das fertiggestellte Zertifikat wird dem Administrator per Mail zugestellt.

Teilnehmerservice

Der zur DFN-PKI gehörende Teilnehmerservice des Forschungszentrums befindet sich beim JSC-Dispatch (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642, Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr)

Mitarbeiter in den PTJ-Außenstellen können die für eine Registrierung erforderliche Teilnehmererklärung auch vor Ort abgeben:

  • Kontakt in Berlin: +49 30 20199-460
  • Kontakt in Rostock: +49 381 20356-299

Dasselbe gilt für Mitarbeiter in den JCNS -Außenstellen

  • Kontakt in Jülich: +49 2461 61 2498

Mitarbeiter des Helmholtz-Instituts Erlangen-Nürnberg (IEK-11) können sich an folgende Telefonnummer wenden:

  • Kontakt in Erlangen: +49 9131 85-20843

Mitarbeiter des Helmholtz-Instituts Münster (IEK-12) können sich an folgende Telefonnummer wenden:

  • Kontakt in Münster: +49 251 83-30008

Gültigkeit von Zertifikaten

In der DFN-PKI stehen FZJ-Mitarbeitern zwei Klassen von Benutzer- bzw. Server-Zertifikaten zur Verfügung: Global-Zertifikate und Grid-Zertifikate.

GültigkeitsdauerBenutzerzertifikatServerzertifikat
Global3 Jahreseit dem 01.09.2020: 397 Tage (13 Monate)
Grid1 Jahr1 Jahr

Weitere Informationen und Bedienungsanleitungen