Server-Zertifizierungen
Eine Zertifizierungsstelle bestätigt die "Echtheit" von (WWW-)Servern, d. h. sie gewährleistet, dass ein bestimmter (WWW-)Server wirklich von einer bestimmten Einrichtung betrieben wird. Dies ist notwendig, um bei Bedarf die Vertraulichkeit der zwischen Benutzer und Server übertragenen Daten sicherstellen zu können.
In der Regel werden alle Informationen im Internet unverschlüsselt, d. h. für jeden grundsätzlich lesbar, übertragen. Bei vertraulichen Informationen – darunter fallen insbesondere auch Passwörter für Benutzerkennungen – sollte jedoch gewährleistet sein, dass
- die Informationen zum richtigen Empfänger übertragen werden
- nur der richtige Empfänger die Informationen auch lesen kann
- die Informationen auf dem Übertragungsweg nicht verändert werden.
Im WWW wird die Vertraulichkeit der übertragenen Informationen über sogenannte sichere Verbindungen erreicht. Alle aktuellen Browser können sichere Verbindungen zu einem WWW-Server aufbauen. Eine WWW-Seite, die über eine sichere Verbindung abgerufen wird, erkennt man daran, dass ihre WWW-Adresse mit https: statt mit http: beginnt. Im Browser ist eine sichere Verbindung durch ein geschlossenes Schloss z. B. in der Fußzeile des Browserfensters zu erkennen.
Damit Ihr Browser eine sichere Verbindung zu einem WWW-Server aufbauen kann, muss er zunächst die "Identität" des Servers feststellen können. Dazu weist sich der WWW-Server gegenüber dem Browser mit einem Zertifikat aus, das Informationen über den Betreiber des Servers sowie den Aussteller des Zertifikats liefert. An dieser Stelle kommen nun die Zertifizierungsstellen ins Spiel, die Zertifikate für Server ausstellen. Auch Zertifizierungsstellen selbst besitzen ein Zertifikat, das eventuell von einer weiteren Zertifizierungsstelle ("Eltern-Zertifizierungsstelle") ausgestellt ist. Auf diese Weise ergibt sich ein sogenannter Zertifizierungspfad vom Zertifikat des Servers bis zu einer sogenannten Stammzertifizierungsstelle, deren Zertifikat nicht mehr von einer weiteren Zertifizierungsstelle ausgestellt ist.
Nur wenn der Browser den Zertifizierungspfad bis zu einer (Stamm-)Zertifizierungsstelle verfolgen kann, die er als vertrauenswürdig ansieht, wird die sichere Verbindung ohne weitere Rückfragen hergestellt. Andernfalls erhalten Sie eine Warnung und müssen selbst entscheiden, ob Sie die Verbindung zulassen. Ihr Browser hat schon eine Liste von vertrauenswürdigen Zertifizierungsstellen vorinstalliert; bei Bedarf können Sie weitere Zertifizierungsstellen hinzufügen.
Die Universität Passau hat seit März 2007 die Zertifizierungsstelle an den DFN-Verein (über den Dienst DFN-PKI) ausgelagert. Der Vorteil für Serverbetreiber an der Universität, die ein Zertifikat benötigen, ist, dass sie dieses auf einfache Weise über eine Webschnittstelle beantragen können. Nach einer persönlichen Identifikation des Antragstellers im ZIM wird das Zertifikat kurzfristig erzeugt und dem Antragstellenden per E-Mail zugesandt.
Der Vorteil für alle Nutzer, die in gesicherter Weise auf Server der Universität Passau zugreifen möchten, ist, dass im Normalfall die Installation eines Stammzertifikats im Browser nicht mehr erforderlich ist, da die von der UNI-PASSAU CA - G2 ausgestellten Zertifikate in die DFN-Zertifizierungshierarchie eingebunden sind und somit von den meisten aktuellen Browsern als vertrauenswürdig eingestuft werden.
Hier haben wir detaillierte Informationen über das Prozedere für die Beantragung eines Serverzertifikats für Sie zusammengestellt.
Über die Installation von Zertifikaten unter Windows-Server-Betriebssystemen informiert Sie das Dokument "SSL-geschützte Verbindungen mit dem "Internet Information Server" (IIS) unter Windows Server 2003".
Ein von der UNI-PASSAU CA - G2 ausgestelltes Serverzertifikat gilt für zwei Jahre und muss nach Ablauf dieses Zeitraums neu beantragt werden.
zum Online-Antrag für Zertifikate
Bitte beachten Sie auch die Informationen der DFN-PKI zur Certificate Transparency.