Jump to main content

Quicklinks

Zertifikate für Server

Im Webbereich erkennen Sie eine (Transport-)Verschlüsselung anhand des Protokollnamens „https“, in Browsern mittlerweile auch häufig als Schlosssymbol dargestellt. Der Server benötigt ein Zertifikat, um sich gegenüber dem anfragenden Client als „echt“ ausweisen und die Verschlüsselung initiieren zu können. Auch die an der Universität zu Köln angebotenen Dienste werden inzwischen nahezu flächendeckend mit verschlüsselter Kommunikation betrieben. Wenn Sie selbst einen Dienst betreiben (wollen), finden Sie hier die zur Verfügung stehenden Optionen für den Erhalt von Zertifikaten.

Nutzung von Let's Encrypt

Seit Ende 2015 gibt es die freie und kostenlose Zertifizierungsstelle Let’s Encrypt. Diese ist in den gängigen Browsern und E-Mail-Programmen vertreten, daher erhalten Besucher von Webseiten, die mit Let’s-Encrypt-basierten Zertifikaten betrieben werden, keine Sicherheitswarnungen, wie es bei sog. self-signed-Zertifikaten der Fall wäre. Auch das ITCC nutzt für den Großteil der betriebenen Webserver diesen Service, sodass Zertifikate automatisch erneuert und z.T. auch erzeugt werden. Neu angelegte Webauftritte, die von uns administriert werden (z.B. Webprojekte, TYPO3-Seiten), erhalten automatisch ein Zertifikat von Let’s Encrypt und sind somit per https(-only) erreichbar.

Sollten Sie einen eigenen Server betreiben, beispielsweise auf einer virtuellen Maschine am RRZK, empfehlen wir Ihnen, auch hierfür Let’s Encrypt zu verwenden, sofern dies technisch möglich ist - d.h. dass die HTTP-Challenge von LE auf Port 80 automatisiert beantwortet werden kann, der Server also aus dem Internet auf diesem Port erreichbar ist. Dies ist beispielsweise dann der Fall, wenn Sie den Service über den Reverse-Proxy des ITCC verfügbar machen. Hierbei wird sogar die automatisierte Erstellung/Erneuerung von LE-Zertifikaten standardmäßig aktiviert. Wenn dieser Weg für Sie der Richtige ist, wenden Sie sich bitte an webmaster(at)uni-koeln(dot)de

Jedoch sollten Sie den Server nicht nur zum Internet hin öffnen, um ein Zertifikat zu erhalten. Dafür gibt es andere Lösungen, s.u.

Nutzung der DFN-PKI (HARICA)

Wenn die Nutzung von Let’s Encrypt nicht infrage kommt (z.B. bei Servern, die nur intern erreichbar sein sollen), können Sie auf die Infrastruktur der DFN-PKI ausweichen, die über den Dienstleister HARICA realisiert wird. Dabei gilt es jedoch zu beachten: Seit 2025 werden die Laufzeiten von Zertifikaten weltweit (unabhängig vom Anbieter) radikal reduziert, bis sie 2028 nur noch 30 bzw. 47 Tage gültig sind. Das macht jeden manuellen Antragsprozess unmöglich, sodass wir ausschließlich die automatisierte Erstellung über das ACME-Protokoll unterstützen. Im Gegensatz zu Let's Encrypt (s.o.) findet die Autorisierung dabei nicht Domain-basiert per HTTP-Challenge statt, sondern über eine Organisationsvalidierung mit einem speziellen sogenannten EAB-Account, den das ITCC für berechtigte Personen erstellt und diesen aushändigt. Das Verfahren wird vom DFN-Verein anschaulich im folgenden PDF beschrieben:

https://doku.tid.dfn.de/_media/de:dfnpki:harica:2026-01-22-automatisierung.pdf

Mittels der vom ITCC erstellten EAB-Credentials können dann z.B. unter Zuhilfenahme des Tools “certbot” automatisiert Zertifikate erstellt und regelmäßig erneuert werden. Dabei muss certbot nicht auf dem Server laufen, der auch die Zertifikate benötigt, diese können nach dem Erhalt auch z.B. per Ansible auf entsprechende Server verteilt werden.

Um die EAB-Credentials zu erhalten, melden Sie sich bitte unter Angabe der (Sub-)Domains, für die Sie Zertifikate generieren wollen, bei camaster(at)uni-koeln(dot)de

Nutzung der DFN-PKI (Community)

Für interne Anwendungsfälle, die zudem keine öffentlichen Dienste propagieren müssen, können nicht verankerte Zertifikate aus der Community CA eine Alternative darstellen. Die Vorteile dieser Zertifikate liegen in ihren Laufzeiten von derzeit rund drei Jahren. Durch ihre Nichtverankerung müssen auf den beteiligten Systemen Wurzel- und Zwischenzertifikate installiert werden. Die Domain-Namen der Zertifikate müssen zudem einer öffentlichen Top-Level-Domain entstammen.

Die Beantragung der Zertifikate kann über die folgende Seite erfolgen:

https://pki.pca.dfn.de/dfn-pki/dfn-verein-community-ca/4570/

Bitte melden Sie sich im Anschluss bei camaster(at)uni-koeln(dot)de für die Freigabe.