MIN-Fakultät
Fachbereich Informatik
Rechenzentrum
UHH > MIN > Informatik > RZ > Netz > E-Mail Web-Mail Suche Seitenende

SSL-Zertifikate der Web- und Mail-Server

Das Informatik-Rechenzentrum bietet den Zugriff auf Web-Seiten, die eine Authentisierung verlangen (z.B. den Web-Mailer) nur über sichere SSL-verschlüsselte Verbindungen an. Ebenso erlauben wir den Mailzugriff auf den Server mailhost.informatik.uni-hamburg.de mit dem IMAP-Profotoll nur über SSL-Verbindungen (Port 993 / IMAPS) sowie mit dem POP3-Protokoll über SSL-Verbindungen (Port 995 / POP3S).

Bei verschlüsseltem SSL-Zugriff wird die Vertrauenswürdigkeit des Web- bzw. Mailservers durch ein SSL-Zertifikat abgesichert. Solche Zertifikate wurde von einer “Certification Authority” (CA) ausgestellt und signiert. SSL-fähige Anwendungen wie Web-Browser und Mail-Clients werden mit SSL-Zertifikaten diverser kommerzieller CAs ausgeliefert, so dass sie allen Servern vertrauen, deren SSL-Zertifikate von einer dieser CAs signiert wurden.

Alle SSL-Zertifikate der Web- und Mail-Server Fachbereichs Informatik wurden von der Server-CA der Universität Hamburg (UHH CA - G02) ausgestellt und von der “DFN-PKI” (DFN-Verein PCA Global - G01; das ist die Public Key-Infrastruktur unseres Service-Providers DFN-Verein) signiert. Das Zertifikat der DFN-PKI is t wiederum von der Deutschen Telekom (Deutsche Telekom Root CA 2) als Wurzel-Zertifikat signiert. Dieses Wurzelzertifikat ist im Microsoft Internet Explorer und in Windows-Betriebssystemen bereits vorinstalliert und muss dort nicht mehr importiert werden. Im Web-Browser Firefox und Mail-Programm Thunderbird soll das Wurzelzertifikat der Deutschen Telekom in Zukunft vorinstalliert sein, ist es aber noch nicht. Somit müssen Sie es sich dort und in anderen Web-Browsern und Mail-Programmen selbst installieren, wie es im folgenden beschrieben wird.

Solange Sie das DFN-PKI-Zertifikat noch nicht in Ihrem Web-Browser bzw. Mail-Programm installiert haben, wird beim ersten SSL-Zugriff auf jeden unserer Server von Ihrer Anwendung eine Dialogbox geöffnet, in der Sie bestätigen müssen, dass sie den angesprochenen Server für authentisch halten und die Verbindung aufbauen wollen. Nach der Installation des DFN-PKI-Zertifikats in Ihrem Browser werden jedoch alle SSL-Zertifikate von Web- und Mail-Servern der Informatik automatisch akzeptiert.

Zertifikatsinformationen

Das Wurzelzertifikat der Deutschen Telekom Root CA 2 und das CA-Zertifikat der DFN-Verein PCA Global - G01

Zertifizierungsstelle der Universität Hamburg

(Achtung: Die Zertifizierungsstelle der Universität Hamburg liegt auf einem Server der DFN-PKI. Wenn Ihr Browser das Wurzelzertifikat der DFN-PCA Global noch nicht kennt, bekommen Sie beim Wechseln auf diese Seite ein Popup-Fenster mit der Meldung, dass die Identität der Websites www.pki.dfn.de bzw. info.pca.dfn.de nicht sichergestellt werden kann. Dies ist etwas irritierend, wenn man erwartete, dass die Zertifizierungsstelle der Universität Hamburg auf einem Server der Uni Hamburg läge. Klicken Sie in diesem Fenster auf “Accept this certificate temporarily for this session”.)

Sie finden die Zertifikate auch auf den zentralen Sun-Servern des Informatik-Rechenzentrums im Verzeichnis /opt/pkg/openssl/certs.

Telekom Root-Zertifikat im Web-Browser Mozilla / Firefox / Netscape installieren

Installieren Sie bitte das Wurzelzertifikat der Deutschen Telekom Root CA 2, indem Sie auf die Website der Zertifizierungsstelle der Universität Hamburg wechseln und dort im Abschnitt “Wurzelzertifikat” das Zertifikat im DER-Format oder PEM-Format an anklicken. Falls Ihr Browser dieses Zertifikat bereits kennt, bekommen Sie eine Meldung “The Certificate Already exists”. Andernfalls markieren Sie in dem erscheinenden Dialogfenster, dass Sie dieser CA zur Identifizierung von Web- und Mail-Servern) vertrauen:

CA-Zertifikat der Deutschen Telekom Root CA 2 speichern

Klicken Sie auf “View - Examine CA certificate”, um sicherzugehen, dass es sich wirklich um das Stammzertifikat der Deutschen Telekom Root CA 2 handelt. Prüfen Sie, ob Seriennummer und Fingerprint mit denen auf der DFN PKI-Website und denen im folgenden Bild übereinstimmen:

CA-Zertifikat der Deutschen Telekom Root CA 2 ansehen

Gehen Sie zurück in das vorige Fenster und akzeptieren Sie das Wurzelzertifikat durch Klicken auf “OK”.

Danach akzeptiert Ihr Browser die mit diesem Wurzelzertifikat signierten Zertifikate wie das des Mailservers mailhost.informatik.uni-hamburg.de und Webmailers webmail.informatik.uni-hamburg.de.

Sie können sich im die installierten Zertifikate z.B. im Firefox Web-Browser unter Edit / Preferences / Advanced / Encryption / View Certificates / Authorities und im Mozilla Web-Browser unter Edit / Preferences / Privacy & Security / Certificates / Manage Certificates / Authorities ansehen:

Firefox Certificate Manager

Telekom Root-Zertifikat im Mail-Programm Thunderbird installieren

Thunderbird ist ein Mail-Programm und kein Web-Browser und kann deshalb Zertifikate nicht durch Anklicken eines Webdokumentes laden. Laden Sie sich deshalb von der Zertifizierungsstelle der Universität Hamburg das Wurzelzertifikat der Deutschen Telekom Root CA 2 im PEM-Format im PEM-Format auf Ihren Rechner herunter. Es wird als Datei mit dem Namen cacert.pem gespeichert. Klicken Sie Sich im Thunderbird durch bis in das Fenster Edit / Preferences / Advanced / Certificates / View Certificates / Authorities:

Thunde rbird: Zertifikatsverwaltung

Klicken Sie auf “Import” und importieren Sie die Datei cacert.crt. Danach geht die Installation weiter wie im vorigen Abschnitt zu Firefox beschrieben Prüfen Sie auch hier, ob Seriennummer und Fingerprint des Zertifikates mit denen auf der DFN PKI-Website und denen im Bild im Abschnitt zu Firefox übereinstimmen.

Thunde rbird: Zertifikat importieren

Nach erfolreichem Installieren des Deutsche Telekom Root CA 2-Zertifikates wird dieses unter Authorities angezeigt:

Thunde rbird: Zertifikatsverwaltung (2)

Telekom Root-Zertifikat im Outlook Express installieren

Das Wurzelzertifikat der Deutschen Telekom Root CA 2 ist im Microsoft Outlook Express und in Windows-Betriebssystemen bereits vorinstalliert und muss dort nicht mehr importiert werden.

Telekom Root-Zertifikat auf Apple-Rechnern unter MacOS X installieren

Laden Sie sich von der Zertifizierungsstelle der Universität Hamburg das Wurzelzertifikat der Deutschen Telekom Root CA 2 im PEM-Format im PEM-Format auf Ihren Mac herunter. Es wird als Datei mit dem Namen cacert.pem gespeichert. Ziehen Sie diese Datei auf das Dienstprogramm “Schlüsselbund”.

Für Masochisten: Alternativ geben Sie als Administrator in einem Terminal-Fenster die beiden folgenden Befehle ein:

sudo cp -p /System/Library/Keychains/X509Anchors /System/Library/Keychains/X509Anchors.ORIG
sudo certtool i cacert.pem v k=/System/Library/Keychains/X509Anchors

Nach jedem der beiden Schritte ist das Wurzelzertifikat der Deutschen Telekom Root CA 2 Ihrem Mac bekannt; alle im Fachbereich ausgestellten und von der Zertifizierungsstelle der Universität Hamburg zertifizierten Schlüssel werden von Ihren Mac-Anwendungen akzeptiert.