Zertifikate werden benötigt, um abgesicherte Netzdienste (Web-Service, VPN-Service, digitale Signaturen von E-Mails und elektronischen Dokumenten, E-Mail-Verschlüsselung u.a.m.) bereitzustellen, wobei Kommunikations-Anwendungen und -Partner die Möglichkeit haben, die Gültigkeit der Zertifikate zu überprüfen. Die ITMT bietet grundsätzlich zwei Möglichkeiten der Erstellung von nach X.509 standardisierten Zertifikaten an:

• Interne Zertifikate:
  Diese Zertifikate sind für vor allem für interne technische Netzdienste im Datennetz der UMMD vorgesehen und sind nur dort gültig. Dafür betreibt die ITMT eine eigene CA (Certificate Authority).
  › Download des CA-Zertifikats

• Offizielle Zertifikate:
  Diese Zertifikate sind weltweit gültig. Dafür nutzt die ITMT den TCS (Trusted Certificate Service) des europäischen Forschungsnetzverbundes GÉANT, der in Kooperation mit Sectigo, einer der weltweit führenden Zertifizierungsstellen, angeboten wird und an dem die OVGU als Mitglied des DFN-Vereins teilnimmt.

Die ITMT ist in der Lage und berechtigt, Zertifikate für die folgenden Verwendungszwecke auszustellen:

• Nutzerzertifikate zum Signieren und Verschlüsseln von E-Mail und Dokumenten
• Serverzertifikate zur Server-Authentifizierung für verschlüsselte Web-Dienste
• Clientzertifikate zur Authentifizierung von Endgeräten

Zertifikate können von allen Angehörigen der Universitätsmedizin Magdeburg (UMMD) beantragt werden.

Für Zertifikate, die nur innerhalb des Kliniknetzes genutzt werden sollen, wird analog verfahren.

Nutzerzertifikate

Mit einem Nutzerzertifikat weist sich ein E-Mail-Nutzer gegenüber dem Empfänger aus. Eine signierte E-Mail enthält eine Signatur, anhand derer der Empfänger prüfen kann, ob der Absender wirklich die Person ist, die durch die E-Mail-Adresse repräsentiert wird, und ob die Nachricht unverfälscht vom Absender zu ihm gelangt ist.

Nutzerzertifikate werden über den Sectigo Zertifikatsmanagererstellt. Um sie zu nutzen, müssen sie aber in die jeweiligen Programme, die diese Nutzung unterstützen, übertragen werden.

Voraussetzung ist eine erfolgte Identitätsprüfung in der Registrierungsstelle unter Vorlage eines amtlichen Lichtbildausweises.

Registrierungsstelle UMMD-RA:
IT und Medizintechnik (ITMT) | Haus 17 | Raum H17/202 | Lageplan
Herr Böhm (T. 15720) / Herr Franke (T. 15724)

Nach dem Aufruf des Zertifikatsmanagers über o. g. Link geben Sie bitte im Feld "Find Your Institution" als Suchbegriff "otto" ein und wählen Sie anschließend "Otto-von-Guericke-University Magdeburg" aus. Beachten Sie bei der nachfolgenden Anmeldung, dass Sie Ihren sog. LDAP-Account verwenden müssen (wie z. B. auch für das Gäste-WLAN). Sollten Sie Ihr Passwort nicht kennen, können Sie es hier selbst festlegen: https://intranet.med.ovgu.de/MeineZugangsdaten.html -> LDAP-Kennwort. (Anmerkung: Bei fehlendem Identitätsprüfungsvermerk endet der Antragsprozess direkt nach der Anmeldung mit der Ausschrift "You are not allowed to self enroll.")

Wählen Sie folgende Einstellungen:

• Certificate Profile: "GÉANT Personal email signing and encryption" (fest eingestellt)
• Term: "730 days"
• Enrollment Method: "Key Generation" (alternativ können Sie auch "CSR" wählen, falls Sie mit dieser Methode bereits vertraut sind)

Die "Key Generation"-Methode erfordert diese weiteren Eingaben:

• Key Type: "RSA - 4096"
• Passwort zum Schutz des privaten Schlüssels (ACHTUNG: Sollten Sie das Passwort vergessen, besteht keine Möglichkeit der Rücksetzung. Wenn Sie das Zertifikat neben dem Signieren auch zum Verschlüsseln verwenden, bedeutet dies den Verlust der betreffenden Mails.)
• Key protection algorithm: "Secure AES256-SHA256"

Schicken Sie nun das Formular ab:

• EULA lesen und Häkchen für Einverständnis setzen
• auf den "Submit"-Button klicken.

Wenn die Zertifikatsgenerierung abgeschlossen ist, werden Sie auf eine Download-Seite weitergeleitet. Speichern Sie Ihr Zertifikat an einem sicheren Ort.

Integration in Anwenderprogramme:

Das Nutzer-Zertifikat wird hauptsächlich zum Unterschreiben und Verschlüsseln von E-Mails verwendet. Dazu muss es in das verwendete Mail-Programm importiert werden. Sie können auch in anderen Programmen digitale Signaturen verwenden, um die Echtheit von Dokumenten sicherzustellen bzw. zu überprüfen. Zum Beispiel für das Signieren von PDF-Dateien in Acrobat Reader. Dazu müssen für diese Dokumente die Reader-Verwendungsrechte aktiviert sein. Dann kann unter "Signieren" - "Arbeiten mit Zertifikaten" und "Unterschreiben mit Zertifikat" ein Unterschriftsfeld gezeichnet werden, in dem die Unterschrift eingefügt wird.

Detaillierte Informationen zur Installation der Zertifikate und Verwendung einer digitalen Signatur finden Sie im Intranet.

Serverzertifikate

Mit dem Serverzertifikat weist sich der Server (bzw. ein von ihm angebotener Dienst) gegenüber dem Nutzer aus. Der Nutzer kann aufgrund dieses Zertifikates überprüfen, ob er eine Verbindung wirklich mit dem Server aufbaut, mit dem er sie aufbauen will.

Tritt der Web-Browser mit einem Server in Verbindung, der ein Serverzertifikat verwendet, wird dieses überprüft. Wurde es von einer Zertifizierungsinstanz ausgestellt, der der Browser vertraut, wird das durch ein Symbol in der Statusleiste oder der Adresszeile des Browsers angezeigt, meist ein geschlossenes Vorhängeschloss. Ist die Zertifizierungsinstanz nicht bekannt, oder kann die Vertrauenswürdigkeit dieser Instanz oder der übergeordneten Zertifizierungsstellen nicht geklärt werden, werden Sie gewarnt und müssen sich entscheiden, ob Sie diesem Server für diese Sitzung, für immer oder überhaupt nicht trauen.

Das Stammzertifikat (oberstes Zertifikat der Zertifizierungskette, die zu unserer Zertifizierungsstelle führt) für offizielle Zertifikate ist in allen aktuellen Browsern auf allen aktuellen Betriebssystemen bereits als vertrauenswürdiges Stammzertifikat integriert.

Installation des internen Stammzertifikat (nur Internet-Explorer): 

Das Stammzertifikat für interne Zertifikate können Sie im ITMT-Zertifikatsportal über den Punkt „Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste“ installieren.

Serverzertifikate beantragen:

Es können offizielle Serverzertifikate für die Domain „med.uni-magdeburg.de“ bzw. „med.ovgu.de“ und interne Serverzertifikate für die Domain „imed.uni-magdeburg.de“ beantragt werden. Der folgende Abschnitt ist als Anleitung für Server-Administratoren, die eine abgesicherte Verbindung zu Ihrem Server einrichten wollen, gedacht.

Offizielles Serverzertifikat:

Erzeugen Sie einen Zertifizierungs-Request und den dazugehörigen privaten Schlüssel:
openssl req -newkey rsa:2048 -out www.pem -keyout www.key
Geben Sie, wenn Sie danach gefragt werden, die folgenden Daten ein (kursiv geschriebene Daten ersetzen Sie durch Ihre eigenen):

• Country Name: DE
• State or Province Name: Sachsen-Anhalt
• Locality Name: Magdeburg
• Organization Name: Otto-von-Guericke-Universitaet Magdeburg
• Organizational Unit Name: Universitaetsklinikum Magdeburg
• Common Name: servername.[med.uni-magdeburg.de|med.ovgu.de]
• Email Address: vorname.nachname@med.ovgu.de
• Bei Bedarf entfernen Sie die Passphrase des privaten Schlüssels (z.B. wenn der Server automatisch starten soll):
  openssl rsa -in www.key -out server.key

Zur Beantragung des Zertifikats beim GÉANT TCS (Trusted Certificate Service des europäischen Forschungsnetzverbundes) wenden Sie sich bitte an Herrn Böhm (T. 15720) oder Herrn Franke (T. 15724).

Internes Serverzertifikat beantragen (nur mit Internet-Explorer): ITMT-Zertifikatsportal

Über den Button „Ein Zertifikat anfordern“ können Sie ein Zertifikat (hier: Serverauthentifizierungszertifikat) beantragen. Oder über den Link „Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet (siehe vorher: Zertifizierungs-Request erzeugen), oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet“. Es wird automatisch eine Benachrichtigung an uns gesandt, wir melden uns dann bei Ihnen.

Kontakt

Fragen zu Zertifikaten richten Sie bitte an:

• Falko Franke, 15724,
• Ralf Böhm, 15720,