Diese Seite beschreibt die Neue-TCS-Zertifizierungsstelle ab 2025 – nachdem der bisherige Vertrag von Sectigo kurzfristig zum 10.1.2025 gekündigt wurde, ist bei dem neuen Anbieter HARICA noch einiges im Aufbau. Diese Anleitung wird sich daher in der nächsten Zeit des Öfteren verändern.
Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst bzw. Server zu beantragen. Insbesondere müssen alle beantragten DNS-Namen im DNS der FAU angelegt und ihrer Organisationseinheit zugeordnet sein.
Das Serverzertifikat ist derzeit maximal 12 Monate gültig. Die Browserhersteller streben aber eine Verkürzung der Zertifikatslaufzeiten auf maximal 90 Tage an.
Deshalb stellen wir zur Automatisierung einen FAU-internen ACME Server bereit, über den die meisten Zertifikate bezogen und verlängert werden können. Wer sich für die technischen Details interessiert findet hier den Code des ACME-Servers: https://gitos.rrze.fau.de/noc/tiny-acme-server
Zertifikate erhalten und verwalten:
Server-Zertifikate
Normale Serverzertifikate können per ACME über einen ACME-Client auf dem jeweiligen (Web)Server bezogen werden. Dazu muss im ACME Client der ACME Server des RRZE eingetragen werden: https://acme.rrze.de
Wildcard-Zertifikate
Wildcard-Zertifikate können derzeit nicht automatisiert über unseren ACME Server bezogen werden, weil die vom ACME-Server verwendete http-01 Challenge dies nicht erlaubt.
Bitte verwenden Sie für Wildcard-Zertifikate das manuelle Antragsverfahren oder wenden Sie sich an die FAU-CA unter: ca@fau.de
Zertifikate verwalten
Wenn Sie ein vorhandenes Zertifikat sperren möchten, wenden Sie sich bitte an die FAU-CA unter: ca@fau.de
Zertifikate automatisiert per ACME beziehen
Dazu muss auf dem Server, für den das Zertifikat ausgestellt werden soll, ein ACME Client vorhanden sein.
Bekannte ACME Clients sind u.a.:
| ACME Client | Plattform | Betriebssysteme | Beispiel |
| acme.sh | bash | Unix | |
| dehydrated | bash/zsh | Unix | dehydrated –ca https://acme.rrze.de |
| certbot | python | Unix | certbot –server https://acme.rrze.de |
| win-acme | .NET | Windows |
Alle diese Clients bieten die Möglichkeit, einen eigenen Server anzugeben. Hier muss https://acme.rrze.de angegeben werden.
Der Server für den Sie ein Zertifikat erhalten möchten, muss auf Port 80 Verbindungen vom ACME Server entgegen nehmen, um eine Validierung der Anfrage zu ermöglichen.
Zertifikate manuell über die HARICA CA beziehen
Bitte prüfen Sie ob Sie nicht doch lieber das automatisierte ACME Verfahren verwenden möchten. Der hier beschriebene Antragsweg ist hauptsächlich für Sonderfälle gedacht die über ACME nicht validierbar sind (z.B. Wildcard Zertifikate).
- Rufen Sie die Seite https://cm.harica.gr auf und wählen Sie die Login-Methode „Academic Login“ aus.
- Wählen Sie die FAU als Heimat-Hochschule aus und melden Sie sich dann an unserem IdP https://www.sso.uni-erlangen.de mit Ihrer IdM Kennung an.
- Im Webinterface klicken Sie links im Menü unter „Certificate Requests“ auf „Server“
- Wählen Sie als Friendly Name einen eindeutigen Bezeichner für Ihr Zertifikat aus. z.B.: „www.subdomain.fau.de-2025“
- Unter „Add Domains“ geben Sie alle Hostnamen ein, die das Zertifikat enthalten soll an (die Hostnamen werden derzeit leider nicht aus dem CSR übernommen)
Den Haken „Include www….“ können Sie setzen, wenn der entsprechende Hostname auch mit www. im DNS eingetragen ist, ansonsten bitte nicht.
WildcardDomains können im Format *.servername.subdomain.uni-erlangen.de eingetragen werden – sofern Sie auch einen entsprechenden Wildcard-DNS-Eintrag für diesen Hostnamen haben.
Bitte beachten Sie, dass HARICA derzeit noch ein Limit von 20 Hostnamen erzwingt. - Klicken Sie nun auf „Next“ und wählen Sie dann ein OV-Zertifikat aus. Damit werden zusätzlich zu den Hostnamen auch Organisationsinformationen der FAU hinterlegt
- Als Preis für das OV Zertifikat sollte unter dem Select Knopf „Free“ stehen. Wenn hier stattdessen ein Preis angezeigt wird, haben Sie einen Hostnamen unter einer Domain erwischt, die noch nicht unserem Account zugeordnet ist. Bitte brechen Sie den Antrag hier ab und melden Sie sich bei der FAU-CA um die fehlende Second Level Domain freischalten zu lassen.
- Dann 2 Mal auf „Next“ klicken bis Sie auf den Prozesschritt „Summary“ gelangen. Dort bestätigen Sie die Geschäftsbedingungen von HARICA und klicken nochmal auf „Next“.
- Nun können Sie ihren CSR hochladen (das wäre bevorzugt – insbesondere dann wenn Sie für einen Server einen unverschlüsselten Key benötigen) oder im Browser einen CSR generieren lassen. Außerdem muss nochmal die Zustimmung zu den Registrierungsbedingungen bestätigt werden.
- Wenn Sie den Key haben generieren lassen, müssen Sie diesen nun herunterladen.
- Der Antrag ist damit abgeschlossen
- Danach müssen wir den Request manuell freigeben. Dies dauert üblicherweise einen Werktag. Den Status können Sie in der Weboberfläche einsehen.
- Dann erhalten Sie eine Mail von der CA mit einem Link auf das Zertifikat.