Die Zertifizierungsstelle (Certification Authority, CA) der Hochschule Heilbronn (HS-HEILBRONN-CA) ist an den DFN Verein ausgelagert. Das Rechenzentrum der Hochschule Heilbronn betreibt lediglich eine Registrierungsstelle  und ist unter folgender Adresse zu erreichen:

Hochschule Heilbronn
Registrierungsstelle
Rechenzentrum

Raum F020/F021
Max-Planck-Str. 39
74081 Heilbronn

Telefon: +49 (7131) 504-331
Telefax: +49 (7131) 504-14-3311
pki@hs-heilbronn.de 

 

Die HS-HEILBRONN-CA zertifiziert seit dem 01. November 2006 zunächst nur Serverzertifikate nach dem X.509v3-Standard. Die HS-HEILBRONN-CA stellt lediglich eine Registrierungsstelle dar.  Sie ist weder eine Certification Authority (CA), noch ein Trustcenter (TC) und keine Trusted Third Party (TTP), denn die HS-HEILBRONN-CA erzeugt und lagert keine geheimen Schlüssel.
Eine Erweiterung des Dienstes auf die Registrierung von Nutzer-Zertifikaten für Mitarbeiter und Studierende  ist vorgesehen. 

Warum werden Zertifikate benötigt?

Wenn Sie mit einem Web- oder E-Mail-Server eine verschlüsselte Verbindung aufbauen, so schickt Ihnen dieser Server einen Schlüssel, mit dem die folgende Kommunikation verschlüsselt wird und somit nicht abgehört werden kann. Allerdings sollten Sie sichergehen, dass der Server auch tatsächlich der ist, der er vorgibt zu sein (Identität). Um die Identität eines Servers zu beglaubigen, wird ein Schlüssel von einer vertrauenswürdigen Instanz (CA, Certificate Authority) unterschrieben. Einen unterschriebenen (signierten) Schlüssel nennt man Zertifikat.

Anschauliches Beispiel: Wenn Sie einen Vertrag mit einer Ihnen unbekannten Person abschliessen wollen, so muss Ihnen diese ihren Personalausweis (Zertifikat) zeigen. Sie erkennen diesen Ausweis als gültig an, da dieser Ausweis von der Bundesdruckerei (CA) ausgestellt (signiert) wurde. Sie vertrauen der Bundesdruckerei.

Die Hochschule Heilbronn besitzt für alle wichtigen Server ein signiertes Zertifikat.

Zertifikate vieler anderer Server sind von weltbekannten CAs unterschrieben, denen Ihr Browser in der Regel vertraut.
Wenn Ihr Browser eine Fehlermeldung "Zertifizierungsstelle unbekannt" meldet, sollten Sie grundsätzlich misstrauisch werden. Es besteht die Gefahr, dass ein Angreifer eine falsche Identität vorgibt, um an vertrauliche Informationen (Passwort, PIN) von Ihnen zu gelangen.

Wurzelzertifikate

Seit Oktober 2008 sind alle Server-Zertifikate  auf die DFN-PKI Global-Policy umgestellt. Alle unter dieser Policy erstellten Zertifikate liegen in der Zertifikatskette unter der "Deutschen Telekom Root CA 2" und werden damit von aktuellen Webbrowsern (z.B. InternetExplorer, Opera, Firefox ab Version 3.5 bzw. 3.0.12) und E-Mail-Programmen erkannt. Die früher notwendige  Installation der Wurzelzertifikate ist deshalb für die aktuellen Programme nicht mehr notwendig. Auch aus diesem Grunde sollten ältere Programme nicht mehr benutzt werden.

Bei Bedarf sind die Wurzelzertifikate unter den folgenden Links zu finden:

Wurzelzertifikat der Telekom CA:

https://pki.pca.dfn.de/hs-heilbronn-ca/pub/cacert/g_rootcert.crt

Wurzelzertifikat DFN-Verein:

https://pki.pca.dfn.de/dfn-cert-services-gmbh-ca/pub/cacert/g_intermediatecacert.crt

Wurzelzertifiakt HS Heilbronn:

https://pki.pca.dfn.de/hs-heilbronn-ca/pub/cacert/g_cacert.crt

 

Für andere Anwendungen stehen die Wurzelzertifikate  auch in einer pem-formatierten Datei  (alle Wurzelzertifikate in einer Datei) bzw. als  Zip-Archiv der 3 pem-Dateien zur Verfügung.

Zur Konfiguration von Apache-Webservern, für die Zertifikate durch die Hochschule Heilbronn ausgestellt wurden, steht die Zertfikatskette in einer crt-Datei zur Verfügung. Der Pfad zu dieser Datei kann in der Konfigurationsdirective

SSLCertificateChainFile verzeichnis/cacert-chain.crt

angegeben werden.

Der aktuelle Stand der Integration der Zertifikate der DFN-PKI Global in Anwendungen und Betriebssysteme ist hier nachzulesen.

Fingerprints der Zertifikate

Wurzelzertifikate

Wurzelzertifikat  Deutsche Telekom Root CA2:

MD5: 74 01 4A 91 B1 08 C4 58 CE 47 CD F0 DD 11 53 08
SHA1: 85 A4 08 C0 9C 19 3E 5D 51 58 7D CD D6 13 30 FD 8C DE 37 BF

Wurzelzertifikat DFN-Verein PCA Global - G01:

MD5: CA 5A 00 CF 78 D1 4B A7 E1 7F DE 59 67 71 3A BC
SHA1: F0 28 8F DA C6 3A F7 9A 31 9A E9 72 F3 95 09 0E A3 EF E9 45

Hochschule Heilbronn CA-G02:

MD5: 05:95:16:DE:98:DA:AE:4A:98:DF:39:42:9A:1D:1C:6B
SHA1: 5E:D4:6B:AF:7D.BD:54:FC:5E:86:33:38:EE:C7:84:17:1B:72:0A:9E

 

Webserver (Auswahl):

benutzer.hs-heilbronn.de:

MD5: CC 18 83 D9 2D C5 9E CB E4 5D 2D 63 8D 9D 2D 19
SHA1:  DF 46 38 05 51 C1 C3 9C 34 50 EF 94 A0 7D F4 20 76 E3 78 9A

mitarbeiter.hs-heilbronn.de:

MD5: A7 D3 B0 BA 6B AA BB 49 73 BF 23 2D 0E 03 81 43
SHA1: 4C E8 21 D0 7B 13 B1 14 2C C5 7A 65 91 A9 13 C1 2B 61 92 19

webmail.stud.hs-heilbronn.de:

MD5: 42 C2 94 57 EB C4 40 ED 37 57 81 BB C1 6D 11 AA
SHA1: 3D 42 50 E4 45 41 68 00 8F 15 F6 2C A6 EB 67 C2 F2 7B 71 C8

stud.hs-heilbronn.de:

MD5: 0C 2C 75 B7 74 96 4F 6C D6 C2 E2 68 AC 76 FB 5F
SHA1: 7B F2 FB 3D EC F2 7C 24 6E F7 B3 2B E7 18 72 F6 4F C6 66 C1

mysql.rz.hs-heilbronn.de:

MD5: 01 D0 77 75 46 90 07 3A 41 F8 40 BA 35 55 79 62
SHA1: 57 80 64 0B AD AA C4 8D 91 7C 7F 0E AA 32 EB 47 A5 5D A8 7D

dnsverwaltung.hs-heilbronn.de:

MD5: F5 46 C2 BA 53 09 E7 09 A6 C3 96 F0 C1 9F 93 29
SHA1: C4 C4 CA AE 48 EE A4 F9 6A 8F 67 9A 9A 91 8E B0 0F A8 66 D4

download.rz.hs-heilbronn.de:

MD5: 67 1F E3 7F 1E 16 7F 17 AD 0B 7A 7A 16 4F 95 49
SHA1: D8 E3 8E 31 C3 DB 32 60 39 8A 76 CA B2 13 E9 10 E5 4F D4 1E

mysql5.hs-heilbronn.de:

MD5: D1 05 E1 F6 50 18 D0 FE F8 43 DE 94 57 A9 2A A8
SHA1: 01 32 8D 3C 14 9F 5B 7B 3A DC 3F B2 AC 86 F8 8A AF 4C 24 78

majordomo.hs-heilbronn.de:

MD5: 0B:D1:48:7D:97:84:ED:FC:92:BF:D8:73:DB:6B:31:A5
SHA1: D4:9D:EA:A5:58:3D:29:22:BD:C1:F3:62:55:8A:6C:3D:74:F2:8B:6F

E-Mail-Server:

zpop.rz.hs-heilbronn.de:

MD5: 6B:9D:37:76:1A:50:55:E5:80:E2:57:04:F7:EA:4A:12
SHA1: 3D:F9:32:96:DE:18:41:49:D3:27:DF:9A:32:7A:AB:C5:43:E0:2C:9E

pop.stud.hs-heilbronn.de:

MD5: D4:F8:3E:28:83:69:02:83:B6:B1:FD:60:34:99:B1:90
SHA1: B1:99:3C:D4:EB:F5:16:C8:0C:FB:65:E3:A9:35:1F:6B:B1:EF:84:23

imap.stud.hs-heilbronn.de:

MD5: 6D:3D:6C:78:E9:87:C8:CC:EF:3C:9C:27:DD:84:C7:02
SHA1: 16:40:17:B7:09:C6:15:5F:DA:FC:FC:AA:80:4D:00:0B:BA:5A:06:26

smtp.stud.hs-heilbronn.de:

MD5: 5D:A7:B2:8A:14:93:C4:81:10:07:2E:90:09:A5:3B:5F
SHA1: DD:B0:9D:53:2D:4D:2C:BD:10:8F:E8:89:A6:13:C4:AB:A4:2C:5F:BA

---

Zertifikate beantragen

Unter der URL  https://pki.pca.dfn.de/hs-heilbronn-ca/pub  können derzeit ausschließlich Serverzertifikate unter der DFN-GLOBAL-Policy beantragt werden. Bitte achten Sie darauf, dass Sie den Antrag von dem Server aus stellen, für den Sie ein Zertifikat benötigen.

Für den Antrag für Serverzertifikate benötigen Sie eine PEM-formatierte Datei, die den Zertifikatantrag enthält. Diese Datei können Sie z.B. mit dem Programm OpenSSL erzeugen, welches auf jedem UNIX/Linux-System verfügbar ist. Auf Windows-Servern ist das Programm evt. nachzuinstallieren oder es gibt andere Alternativen.

Beispiel zur Erzeugung der Zertifikatdatei:
openssl req -nodes -batch -sha1 -newkey 2048:rsa -keyout zld0key.pem -out zld0req.pem -subj "/C=DE/O=Hochschule Heilbronn/OU=Rechenzentrum/CN=zld0.hs-heilbronn.de/emailAddress=hostmaster@hs-heilbronn.de"

Erklärung:
-nodes:      keine Verschlüsselung des Keys; das ist immer dann notwendig, wenn beim Start eines Dienstes -kein- Passwort eingegeben werden kann
zld0key.pem:   diese Datei enthält den Schlüssel; Name ist frei wählbar; muss die Endung pem haben
zld0req.pem:   diese Datei enthält den Zertifikat-Antrag; der Name ist frei wählbar, muss die Endung pem haben und genau diese Datei wird bei der Antragstellung ausgewählt
zld0.hs-heilbronn.de:   "Common Name" des Servers; das ist der Name des (Web-)Servers
hostmaster@hs-heilbronn.de:   E-Mail-Adresse des Serververantwortlichen

Alle nicht kursiv geschriebenen Angaben müssen genau so geschrieben werden; das Kommando besteht aus einer Zeile.

Das erzeugte Antragsformular ist auszudrucken und vollständig auszufüllen. Geben Sie den Antrag bei der oben genannten Stelle ab - vergessen Sie dabei bitte Ihre Ausweispapiere nicht.

Nach Prüfung und Bearbeitung wird Ihnen das beantragte Zertifikat per E-Mail zugestellt.

Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb

Für den Betrieb der Registrierungsstelle HS-Heilbronn CA gelten folgende Dokumente uneingeschränkt:

Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI (Sicherheitsniveaus: Global, Clasic, Basic) Version V2.1 vom Dezember 2006

Zertifizierungsrichtlinie der DFN-PKI (Sicherheitsniveaus: Global, Classic, Basic) Version V2.1 vom Dezember 2006

Erklärung zum Zertifizierungsbetrieb der HS-Heilbronn CA in der DFN-PKI (Sicherheitsniveau: Global) Version V2.1 vom 23.09.2008