Navigation und Service

Zertifikate der DFN-PKI und deren Einsatz im Forschungszentrum Jülich

Das Forschungszentrum nutzt die DFN-Verein Global Issuing CA (DFN-CA) zur Verwaltung von Nutzer- und Serverzertifikaten. Diese ermöglichen den Einsatz kryptographischer Verfahren zur Sicherung der Datenübertragung.

Die DFN-Global-CA stellt zwei Kategorien von Zertifikaten zur Verfügung (Nutzer- & Serverzertifikate). Unten erhalten Sie den direkten Zugriff zur Beantragung und zum Teilnehmerservice.

Das JSC-Dispatch (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642, Email: dispatch.jsc[at]fz-juelich.de, Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr) fungiert als Schnittstelle zur DFN-CA (Teilnehmerservice).

Zertifikate der DFN Global-CA können beantragt werden für:

  • FZJ-Mitarbeiter mit gültiger Emailadresse v.name@fz-juelich.de
  • Funktionsgruppen mit gültiger Funktionsmailadresse. Der Antragsteller muss der Inhaber der Funktionsmailadresse sein.
  • Server im JuNet
  • externe Zertifikatnehmer, sofern sich aus einer Kooperation mit dem Forschungszentrum die Notwendigkeit ergibt. In diesem Fall muss dem Namen in den Zertifikatsdaten EXT: vorangestellt werden (EXT:Gabi Mustermann)
  • Code Signing. Der Zertifikatantrag sollte in diesem Fall als persönliches Zertifikat (am besten als Pseudonymzertifikat mit einem Namen der Form "PN: <Vorname Nachname> - CodeSigning") oder als Gruppenzertifikat ("<Gruppenname> - CodeSigning ") gestellt werden.

Beantragen eines Benutzerzertifikats

Die vom DFN-Verein zur Verfügung gestellten Antragsseiten für Nutzerzertifikate unterstützen den Benutzer

  • beim Erzeugen eines Schlüsselpaares
  • bei der Fertigstellung eines Zertifikatantrags, der unterschrieben und zusammen mit einem amtlichen Lichtbildausweis (Personalausweis/Reisepass) persönlich dem Teilnehmerservice im JSC (Dispatch) vorgelegt werden muss. Aufgrund der aktuellen Pandemielage ist das Dispatch zur Zeit nicht besetzt. Persönliche Identifizierungen werden per Video-Ident durchgeführt.

    Sofern die persönliche Identifizierung nicht länger als 39 Monate zurückliegt, reicht es aus, den Antrag per Post oder signierter Email an das Dispatch (dispatch.jsc[at]fz-juelich.de) zu senden.

Die Mitarbeiter der Außenstellen können die persönliche Identifizierung auch jeweils vor Ort durchführen. Die entsprechenden Kontaktadressen finden Sie unten.

Wenn alle Voraussetzungen erfüllt sind, wird der Teilnehmerservice die Erstellung des Zertifikates durch die CA initiieren. Über die Fertigstellung des Zertifikates wird der Antragsteller per Email informiert. Mittels eines Links in dieser Email kann das Zertifikat in den Browser importiert werden, mit dem das Schlüsselpaar erzeugt wurde.

Bitte benutzen Sie für die Beantragung einen der folgenden Browser: Chrome, Firefox, Edge (auf Chromium Basis) oder Safari. Die Zertifikatbeantragung über den Internet Explorer ist nicht möglich.

  • Navigieren Sie zu den Antragsseiten für Nutzerzertifikate
  • Wählen Sie Ein neues Nutzerzertifikat beantragen aus
  • Tragen Sie auf der Antragsseite Ihren Namen, Ihre Emailadresse, (optional) das Kürzel Ihrer Organisationseinheit und die Sperr-PIN ein. Die persönliche Notiz dient lediglich zu Ihrer Information und kann weggelassen werden.
  • Nach Klicken von Weiter kann der Antrag nochmals kontrolliert und ggfs. noch geändert werden.
  • Mit Antragsdatei speichern wird der Antrag abgesendet und es wird eine lokale Sicherungsdatei erzeugt, die gespeichert werden muss.

    Achtung: Nach dem Hochladen der Antragsdatei fragt Firefox in einem Pop-Up-Fenster, wie mit der Antragsdatei verfahren werden soll. In diesem Dialog muss explizit "Datei Speichern" markiert werden, bevor OK gedrückt wird.

    Da diese Antragsdatei auch den privaten Schlüssel enthält, muss sie durch ein Passwort geschützt werden. Der Download-Ordner ist in den Browser-Einstellungen festgelegt.
  • Mit Zertifikatantragsformular (PDF) herunterladen erhält man das Antragsformular zum Drucken oder Speichern in Form einer PDF-Datei.
    Reichen Sie dieses Antragsformular unterschrieben persönlich, per Post, oder per signierter Email (dispatch.jsc[at]fz-juelich.de) beim Teilnehmerservice im JSC-Dispatch ein.
  • Warten Sie auf die Genehmigung durch den Teilnehmerservice & die Fertigstellung des Zertifikates durch die DFN-CA!
  • Die Fertigstellung eines Zertifikates wird von der DFN-CA durch eine signierte Email von dfnpki-mailsender-noreply@dfn-cert.de mitgeteilt. Diese Mail enthält Web-Links, checken Sie daher bitte ggfs. auch Ihren SPAM-Ordner.
  • Folgen Sie bitte dem Link zu Ihrem eigenen Zertifikat und wählen Sie die Antragsdatei aus, die Sie bei der Antragsstellung gespeichert haben. Nach Eingabe des Passworts drücken Sie Weiter.
  • Mit Zertifikatdatei speichern können Sie nun eine PKCS#12-Datei generieren. Diese Datei enthält neben dem Zertifikat auch den dazu gehörenden privaten Schlüssel des Inhabers. Sie muss daher mit einem starken Passwort geschützt werden. Die Datei kann nun in Anwendungen, z.B. in Thunderbird oder zur Nutzung mit Outlook in den Windows-Zertifikatsspeicher importiert werden

Beantragen von Serverzertifikaten (Global)

Serverzertifikate dienen der SSL-Verschlüsselung von Netzwerkdiensten wie https, ldaps, imaps, ...

Zum Generieren eines Server-Zertifikats sind folgende Schritte erforderlich:

  • Erzeugen eines Certificate Signing Requests (CSR). In einigen Fällen bieten die Anwendungen Tools zum Erzeugen dieser Datei, in anderen Fällen muss der Request mit Hilfe eines openssl-Befehls erzeugt werden.
  • Übermittlung des Certificate Signing Requests (CSR) an die CA mit Hilfe der Antragsseiten für Serverzertifikate.
  • Übermittlung des unterschriebenen Zertifikatsantrags an den Teilnehmerservice (JSC Dispatch).
  • Ein Link zum erzeugten Zertifikat wird dem Antragsteller von der CA per Mail mitgeteilt.

Der Common Name (CN) sowie alle beantragten Subject Alternative Names (SAN) müssen in der JuNet-Datenbank eingetragen sein. Antragsberechtigt sind die in der JuNet-Datenbank hinterlegten jeweiligen Administratoren der Server.

In der Zertifizierungsrichtlinie der DFN-CA ist festgelegt, dass sich das Subject aus folgenden Attributen bildet:

  • C=DE
  • ST=Nordrhein-Westfalen
  • L=Juelich
  • O=Forschungszentrum Juelich GmbH
  • CN=(voll qualifizierter Name des Servers)
  • EMail=(Mail-Adresse des Administrators)

Bitte beachten Sie unbedingt die folgenden Hinweise:

  • Bitte beachten Sie Groß- und Kleinschreibung.
  • Bitte keine Umlaute und ß verwenden!

Erstellen des Certificate Signing Requests (CSR)

Um den CSR zu erzeugen, nutzt man entweder Tools, die die jeweilige Server-Software zur Verfügung stellt, oder man nutzt den entsprechenden OpenSSL-Befehl:

openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Juelich/O=Forschungszentrum Juelich GmbH/CN=www.example.org"

Falls der CSR zusätzlich Subject Alternative Names (SANs) enthalten soll, lautet der entsprechende OpenSSL-Befehl

openssl req -newkey rsa:4096 -sha256 -keyout www.example.org-key.pem -out www.example.org-csr.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Juelich/O=Forschungszentrum Juelich GmbH/CN=www.example.org" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName= DNS:www.example.org,DNS:example.org,DNS:www.example.net,DNS:example.net"))

Nach der Erzeugung des RSA private key werden Sie zur Eingabe eines Passwortes aufgefordert. Diese s.g. "PEM pass phrase" schützt den generierten RSA private key vor unberechtigtem Zugriff.

Die OpenSSL-Kurzreferenz des DFN-Vereins gibt weitere Hilfestellung.

Antragsprozess eines Serverzertifikates

  • Erstellen Sie einen Certificate Signing Request (siehe vorherige FAQ)
  • Navigieren Sie zu den Antragsseiten für Serverzertifikate
  • Laden Sie den CSR hoch als PKCS#10-Zertifikatantrag (PEM-formatierte Datei)
  • Wählen Sie das Zertifikatprofil aus (Standardeinstellung: Web Server)
  • Tragen Sie auf der Antragsseite Ihren Namen, Ihre Emailadresse, (optional) das Kürzel Ihrer Organisationseinheit und die Sperr-PIN ein.
  • Nach Klicken von Weiter kann der Antrag nochmals kontrolliert und ggfs. noch geändert werden.
  • Mit Zertifikatantragsformular (PDF) herunterladen erhält man das Antragsformular zum Drucken oder Speichern in Form einer PDF-Datei. Reichen Sie dieses Antragsformular unterschrieben persönlich, per Post, oder per signierter Email (dispatch.jsc[at]fz-juelich.de) beim Teilnehmerservice im JSC-Dispatch ein.
  • Warten Sie auf die Genehmigung durch den Teilnehmerservice & die Fertigstellung des Zertifikates durch die DFN-CA!
  • Die Fertigstellung eines Zertifikates wird von der DFN-CA durch eine signierte Email von dfnpki-mailsender-noreply@dfn-cert.de mitgeteilt. Diese Mail enthält Web-Links, checken Sie daher bitte ggfs. auch Ihren SPAM-Ordner.
  • Speichern Sie das in der Email enthaltene Zertifikat im PEM-Format
  • Erzeugen Sie mit der im CSR erzeugten Schlüsseldatei und dem von der CA zugesandten Zertifikateine PKCS#12-Datei (siehe nächste FAQ)

Erzeugen einer PKCS#12-Datei aus dem privaten Schlüssel und dem zugehörigen Zertifikat (PEM-Format)

Mit dem u.a. OpenSSL-Befehl erzeugen Sie aus dem privaten Schlüssel (www.example.org-key.pem), dem von der DFN-CA ausgestellten Serverzertifikat (signed-certificate.pem) und (optional) der Keychain (certificate-chain.pem) eine PKCS#12-Datei (www.example.org.p12).

openssl pkcs12 -export -inkey www.example.org-key.pem -certfile certificate-chain.pem -out www.example.org.p12 -in signed-certificate.pem

Teilnehmerservice

Der zur DFN-PKI gehörende Teilnehmerservice des Forschungszentrums befindet sich beim

JSC-Dispatch (Geb 16.4, Raum 201 - Rotunde/Erdgeschoss. Tel: +49 2461 61 5642,

Öffnungszeiten: Mo. – Fr.: 09:00 – 11:30 Uhr, zusätzlich Do.: 13:30 – 16:00 Uhr)

Mitarbeiter in den PTJ-Außenstellen können die für eine Registrierung erforderliche Teilnehmererklärung auch vor Ort abgeben:

  • Kontakt in Berlin: +49 30 20199-460
  • Kontakt in Rostock: +49 381 20356-299

Dasselbe gilt für Mitarbeiter in den JCNS -Außenstellen

  • Kontakt in Jülich: +49 2461 61 2498

Mitarbeiter des Helmholtz-Instituts Erlangen-Nürnberg (IEK-11) können sich an folgende Telefonnummer wenden:

  • Kontakt in Erlangen: +49 9131 85-20843

Mitarbeiter des Helmholtz-Instituts Münster (IEK-12) können sich an folgende Telefonnummer wenden:

  • Kontakt in Münster: +49 251 83-30008

Gültigkeit von Zertifikaten

In der DFN-PKI stehen FZJ-Mitarbeitern zwei Klassen von Benutzer- bzw. Server-Zertifikaten zur Verfügung: Global-Zertifikate und Grid-Zertifikate.

GültigkeitsdauerBenutzerzertifikatServerzertifikat
Global3 Jahre13 Monate
Grid1 Jahr1 Jahr

Weitere Informationen und Bedienungsanleitungen