Serverzertifikate

Für Server-Zertifikate bietet die ZECM in Zusammenarbeit mit dem DFN den PKI-Dienst TCS (Trusted Certificate Service, https://www.pki.dfn.de/geant-trusted-certificate-services) der GÉANT an. Dieser wird mit Hilfe eines externen Dienstleisters realisiert (Sectigo Ltd., https://www.sectigo.com).

Ab 2023 ist die Beantragung von Serverzertifikaten 2023 nur noch über die TCS-PKI möglich. Die bis dahin ausgestellten DFN-Serverzertifikate bleiben bis zu Ihrem Ablaufdatum gültig. Eine Verlängerung/Neubeantragung der alten Zertifiakte ist allerdings nicht mehr möglich.

Die Verfahren für Nutzerzertifikate bleiben aktuell unverändert, werden aber im Laufe des Jahres 2023 ebenfalls auf die TCS-PKI umgestellt. Eine ausführliche Anleitung zur Beantragung bei TCS finden Sie weiter unten auf dieser Seite. Bitte lesen Sie auch die Anmerkungen unter "Zu beachten."

Die Beantragung von Serverzertifikaten über TCS ist ab sofort über den folgenden Link möglich:

https://cert-manager.com/customer/DFN/ssl/sslsaml

• Anträge für Serverzertifikaten nach dem alten Verfahren über die DFN-PKI müssen spätestens bis zum 29.12.22, 12 Uhr eingereicht werden.
• Sie müssen einen eigenen CSR (Certificate Signing Request) generieren. Schlüsselgenerierung durch den Browser wird nicht unterstützt.

• Sie können mehrere E-Mailadressen für Zertifikatauslieferung und Benachrichtigungen angeben. Zur Wahrung des Datenschutzes geben Sie hier ausschließlich Funktions-E-Mailadressen an.

• Domains die nicht unter tu-berlin.de fallen, können (wie bisher auch) nach Durchlaufen eines Validierungsverfahrens genutzt werden. Die für die DFN-PKI validierten Domains werden schrittweise in der neue PKI validiert. Bei Fragen hierzu, kontaktieren Sie uns bitte unter ra(at)tu-berlin.de.

• Die Zertifikatprofile der DFN-PKI werden durch das Profil „OV Multi-Domian“ abgelöst. Es ist kompatibel zu den bisherigen Zertifikats-Profilen „Web Server“, „Web Server SOAP“, „VPN Server“, „VoIP Server“, „Shibboleth IdP SP“, „Radius Server“, „Mail Server“, „LDAP Server“ und „802.1X Client“. Benötigen Sie ein anderes Profil, kontaktieren Sie uns bitte unter ra(at)tu-berlin.de.

• Die Zertifikatkette der Sectigo-CA wird zusammen mit dem Zertifikat ausgeliefert. Sie finden alle Sectigo CA-Zertifikatketten auch unter https://doku.tid.dfn.de/de:dfnpki:tcs_ca_certs?s[]=sectigo&s[]=chain

• Das Webformular zur Beantragung wird vom externen Dienstleister Sectigo Ltd. bereitgestellt. Um die Übertragung Ihrer IP-Adresse an Sectigo Ltd.  zu unterbinden, verwenden Sie ggfs. einen entsprechend konfigurierten Web-Proxy.

• Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis der Sectigo Ltd. zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In eines Zertifikats verpflichtet sind.