IT UND MEDIZINTECHNIK

Zertifikate für Server, Endgeräte oder Personen

Zertifikate werden benötigt, um abgesicherte Netzdienste (Web-Service, VPN-Service, digitale Signaturen von E-Mails und elektronischen Dokumenten, E-Mail-Verschlüsselung u.a.m.) bereitzustellen, wobei Kommunikations-Anwendungen und -Partner die Möglichkeit haben, die Gültigkeit der Zertifikate zu überprüfen. Die ITMT bietet grundsätzlich zwei Möglichkeiten der Erstellung von nach X.509 standardisierten Zertifikaten an:

  • Interne Zertifikate:
    Diese Zertifikate sind für vor allem für interne technische Netzdienste im Datennetz der UMMD vorgesehen und sind nur dort gültig. Dafür betreibt die ITMT eine eigene CA (Certificate Authority).
  • Offizielle Zertifikate:
    Diese Zertifikate sind weltweit gültig. Dafür nutzt die ITMT die Registrierungsstelle der Otto-von-Guericke-Universität Magdeburg (OVGU-RA), die an die übergeordnete, zentrale Zertifizierungsstelle des Deutschen Forschungsnetzes (DFN-CA) angeschlossen ist.

Die ITMT ist in der Lage und berechtigt, Zertifikate für die folgenden Verwendungszwecke auszustellen:

  • Nutzer-Zertifikate zum Signieren und Verschlüsseln von E-Mail und Dokumenten
  • Server-Zertifikate zur Server-Authentifizierung für verschlüsselte Web-Dienste
  • Client-Zertifikate zur Authentifizierung von Endgeräten

Zertifikate können bei der ITMT von allen Angehörigen der Universitätsmedizin Magdeburg (UMMD) beantragt werden. Für weltweit gültige Zertifikate gilt die jeweils aktuelle Zertifizierungsrichtlinie der DFN-PKI.

Für Zertifikate, die nur innerhalb des Kliniknetzes genutzt werden sollen, wird analog verfahren.


 

Nutzer-Zertifikate

Mit einem Nutzerzertifikat weist sich ein E-Mail-Nutzer gegenüber dem Empfänger aus. Eine signierte E-Mail enthält eine Signatur, anhand derer der Empfänger prüfen kann, ob der Absender wirklich die Person ist, die durch die E-Mail-Adresse repräsentiert wird und, ob die Nachricht unverfälscht vom Absender zu ihm gelangt ist. Nutzerzertifikate werden mit dem Web-Browser erzeugt. Um sie zu nutzen, müssen sie aber in die jeweiligen Programme, die diese Nutzung unterstützen, übertragen werden.

Nutzer-Zertifikate können unter folgenden URL’s beantragt und in den Browser importiert werden:

Allgemeine Hinweise:

  • Schreiben Sie Ihren Namen bitte nicht nur in kleinen Buchstaben, sondern mit Großbuchstaben beginnend.
  • Geben Sie Ihren Vor- und Nachnamen an wie im Ausweis (Es muss mindestens ein Vorname (Rufname) ausgeschrieben sein.) Namenszusätze, die nicht im Ausweis enthalten sind, dürfen nicht verwendet werden! Umlaute sind im Zertifikat allerdings generell nicht möglich, bitte verwenden Sie stattdessen "ä"="ae", "ö"="oe", "ü"="ue", "ß"="ss".
  • Nicht im Ausweisdokument geführte Titel tauchen niemals im Namen von Nutzer-Zertifikaten auf.
  • Geben Sie Ihre persönliche med.ovgu.de-Emailadresse an (keine private!). Bitte achten Sie unbedingt darauf, dass Ihre Emailadresse korrekt geschrieben ist, da das Antwortschreiben mit Ihrem Zertifikat und weiteren Informationen automatisch an diese versendet wird.
  • Füllen Sie den Antrag möglichst an dem PC aus, auf dem Sie später das Zertifikat nutzen wollen. Andernfalls müssen Sie später das Zertifikat erst exportieren, um es letztlich gemeinsam mit dem privaten Schlüssel auf dem endgültigen Rechner installieren zu können.
  • Beachten Sie auch die Hinweise auf den entsprechenden Web-Seiten

Hinweise für offizielle Zertifikate:

  • Merken Sie sich unbedingt Ihre PIN, sie benötigen sie, um bei Verlust oder Kompromittierung Ihres Zertifikates dieses zurückziehen zu können.
  • Es ist zu empfehlen, dass Sie der Veröffentlichung Ihres öffentlichen Schlüssels (Public Key) innerhalb des Netzes des DFN zustimmen.
  • Lassen Sie sich dann auf der nächsten Seite einen Schlüsselpaar generieren. Danach Lassen Sie sich den Zertifikatantrag anzeigen und ausdrucken (möglichst doppelseitig auf 1 Blatt).
  • Diesen Antrag füllen Sie aus und lassen sich mit Ihm in der Registrierungsstelle identifizieren. Bringen Sie dazu den im Antrag angegebenen Lichtbildausweis mit.

Registrierungsstelle UKMD-RA:
IT und Medizintechnik (ITMT) | Haus 17 | Raum H17/311 | Lageplan
Herr Maercker (T. 35720) / Herr Franke (T. 15720)

  • Wenn das Zertifikat im Anschluss daran erfolgreich erzeugt wurde, erhalten Sie eine E-Mail. Darin wird auch der Import des Zertifikates in den Browsers erläutert.

Hinweis für interne Zertifikate:

  • Interne Zertifikate sind vorrangig für Server und Endgeräte gedacht.
  • Wenn Sie ein Zertifikat beantragen wird automatisch eine Benachrichtigung an uns gesandt, wir melden uns dann bei Ihnen. Natürlich können Sie auch nachfragen.

Nutzer-Zertifikat exportieren:

Nachdem Sie wie in der E-Mail beschrieben Ihr Zertifikat im Browser importiert haben, können Sie es von dort exportieren, um es in anderen Anwendungen, z.B. in Ihrem Mailprogramm zu nutzen.

Firefox:

Unter "Extras / Einstellungen ..." finden Sie die Einstellungen und im Tab "Erweitert / Zertifikate" schließlich die Zertifikatsverwaltung. Mit "Zertifikate anzeigen" können Sie sich davon überzeugen, ob Ihr importiertes Zertifikat richtig erkannt und mit dem privaten Schlüssel zusammengefügt wurde. Um es zu exportieren, führen Sie folgende Schritte aus:

  • Markieren Sie Ihr Zertifikat und klicken auf "Sichern".
  • Geben Sie einen Dateinamen an.
  • Wenn Sie im Browser ein Masterpasswort verwenden, müssen Sie es dann eingeben.
  • Geben Sie (zweimal) ein Zertifikats-Backup-Passwort ein. Sie brauchen dieses Passwort, um es in anderen Anwendungen zu importieren.
  • Als Ergebnis erhalten Sie eine Datei mit der Endung .p12, die Ihr exportiertes Zertifikat enthält.

Internet Explorer:

Unter „Extras/Internetoptionen …“ finden Sie den Reiter „Inhalte“ und dort den Button „Zertfikate“. Mit "Anzeigen" können Sie sich davon überzeugen, ob Ihr importiertes Zertifikat richtig erkannt und mit dem privaten Schlüssel zusammengefügt wurde. Um es zu exportieren, führen Sie folgende Schritte aus:

  • Markieren Sie Ihr Zertifikat und klicken auf "Exportieren", dann „Weiter“
  • Markieren Sie „Ja, privaten Schlüssel mit exportieren“, dann „Weiter“ und wieder „Weiter“
  • Geben Sie (zweimal) ein Zertifikats-Passwort ein. Sie brauchen dieses Passwort, um es in anderen Anwendungen zu importieren.
  • Geben Sie einen Dateinamen an und klicken abschließend auf „Fertigstellen“
  • Als Ergebnis erhalten Sie eine Datei mit der Endung .pfx, die Ihr exportiertes Zertifikat inlusive privatem Schlüssel enthält.

Integration in Anwenderprogramme:

Das Nutzer-Zertifikat wird hauptsächlich zum unterschreiben und verschlüsseln von E-Mails verwendet. Dazu muss es in das verwendete Mail-Programm importiert werden. Sie können auch in anderen Programmen digitale Signaturen verwenden, um die Echtheit von Dokumenten sicherzustellen, bzw. zu überprüfen. Zum Beispiel für das Signieren von pdf-Dateien in Acrobat Reader. Dazu müssen für diese Dokumente die Reader-Verwendungsrechte aktiviert sein. Dann kann unter "Signieren" - "Arbeiten mit Zertifikaten" und "Unterschreiben mit Zertifikat" ein Unterschriftsfeld gezeichnet werden, in dem die Unterschrift eingefügt wird.

Detaillierte Informationen zur Installation der Zertifikate und Verwendung einer digitalen Signatur finden Sie im ITMT-Intranet.


 

Server-Zertifikate

Mit dem Server-Zertifikat weist sich der Server (bzw. ein von ihm angebotener Dienst) gegenüber dem Nutzer aus. Der Nutzer kann aufgrund dieses Zertifikates überprüfen, ob er eine Verbindung wirklich mit dem Server aufbaut, mit dem er sie aufbauen will.

Tritt der Web-Browser mit einem Server in Verbindung, der ein Serverzertifikat verwendet, wird dieses überprüft. Wurde es von einer Zertifizierungsinstanz ausgestellt, der der Browser vertraut, wird das durch ein Symbol in der Statusleiste oder der Adresszeile des Browsers angezeigt, meist ein geschlossenes Vorhängeschloss. Ist die Zertifizierungsinstanz nicht bekannt, oder kann die Vertrauenswürdigkeit dieser Instanz oder der übergeordneten Zertifizierungsstellen nicht geklärt werden, werden Sie gewarnt und müssen sich entscheiden, ob Sie diesem Server für diese Sitzung, für immer oder überhaupt nicht trauen.

Das Stammzertifikat (oberstes Zertifikat der Zertifizierungskette, die zu unserer Zertifizierungsstelle führt) für offizielle Zertifikate ist in allen aktuellen Browsern auf allen aktuellen Betriebssystemen bereits als vertrauenswürdiges Stammzertifikat integriert.

Installation des internen Stammzertifikat (nur Internet-Explorer): 

Das Stammzertifikat für interne Zertifikate können Sie im ITMT-Zertifikatsportal über den Punkt „Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste“ installieren.

Server-Zertifikate beantragen:

Es können offizielle Server-Zertifikate für die Domain „med.uni-magdeburg.de“ bzw. „med.ovgu.de“ und interne Server-Zertifikate für die Domain „imed.uni-magdeburg.de“ beantragt werden. Der folgende Abschnitt ist als Anleitung für Server-Administratoren, die eine abgesicherte Verbindung zu Ihrem Server einrichten wollen, gedacht.

Offizielles Server-Zertifikat:

Erzeugen Sie einen Zertifizierungs-Request und den dazugehörigen privaten Schlüssel
openssl req -newkey rsa:2048 -out www.pem -keyout www.key
Geben Sie, wenn Sie danach gefragt werden, die folgenden Daten ein (kursiv geschriebene Daten ersetzen Sie durch Ihre eigenen):

  • Country Name: DE
  • State or Province Name: Sachsen-Anhalt
  • Locality Name: Magdeburg
  • Organization Name: Otto-von-Guericke-Universitaet Magdeburg
  • Organizational Unit Name: Universitaetsklinikum Magdeburg
  • Common Name: servername.[med.uni-magdeburg.de|med.ovgu.de]
  • Email Address: vorname.nachname@med.ovgu.de
  • Bei Bedarf entfernen Sie die Passphrase des privaten Schlüssels (z.B. wenn der Server automatisch starten soll):
    openssl rsa -in www.key -out server.key

Bei der DFN-CA können Sie jetzt ein offizielles Server-Zertifikat beantragen: DFN-Zertifikatsportal

Geben Sie unter "Zertifikate/Serverzertifikat" die erforderlichen Daten ein.

  • Der angeforderte PKCS#10-Zertifikatantrag ist die vorher erzeugte Datei (im Beispiel "www.pem").
  • Merken Sie sich unbedingt Ihre PIN. Sie benötigen sie, um bei Verlust oder Kompromittierung Ihres Zertifikates dieses zurückziehen zu können.
  • Es ist zu empfehlen, dass Sie der Veröffentlichung Ihres Schlüssels innerhalb des Netzes des DFN zustimmen. Schließlich wollen Sie, dass mit Ihrem Server kommuniziert wird.
  • Auf der nächsten Seite bestätigen Sie Ihre Angaben und lassen sich dann den Zertifikatantrag anzeigen und ausdrucken (möglichst doppelseitig auf 1 Blatt). Diesen Antrag füllen Sie aus und lassen sich mit Ihm in der Registrierungsstelle der ITMT identifizieren. Bringen Sie dazu den im Antrag angegebenen Lichtbildausweis mit.

Registrierungsstelle UKMD-RA:
IT und Medizintechnik (ITMT) | Haus 17 | Raum H17/311 | Lageplan
Herr Maercker (T. 35720) / Herr Franke (T. 15720)

  • Wenn das Zertifikat im Anschluss daran erzeugt wurde, bekommen Sie es in einer E-Mail zugeschickt. Sie können es dann in das entsprechende Verzeichnis kopieren und nutzen.

Internes Server-Zertifikat beantragen (nur mit Internet-Explorer): ITMT-Zertifikatsportal

Über den Button „Ein Zertifikat anfordern“ können Sie ein Zertifikat (hier: Serverauthentifizierungszertifikat) beantragen. Oder über den Link „Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet (siehe vorher: Zertifizierungs-Request erzeugen), oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet“. Es wird automatisch eine Benachrichtigung an uns gesandt, wir melden uns dann bei Ihnen.


 

Kontakt

Fragen zu Zertifikaten richten Sie bitte an:

Letzte Änderung: 23.05.2019 - Ansprechpartner:

Sie können eine Nachricht versenden an: Dr.-Ing. Martin Kunert
Sicherheitsabfrage:
Captcha
 
Lösung: