Als Teilnehmer von ACOnet haben wir die Möglichkeit Zertifikate (Server, Code-Signing und E-Mail) gratis zu beziehen.
Grundsätzlich basiert das Service auf einem Vertrag zwischen Sectigo Ltd. (Roseland, NJ, USA) und GÉANT (früher TERENA), dem Verband europäischer Wissenschaftsnetze (den sog. NRENs), den auch ACOnet (der Betreiber des österreichischen Wissenschaftsnetzes und somit Provider der TU Graz) unterzeichnet hat.
Bestehende Zertifikate von DigiCert bleiben bis zum Ablauf weiter
gültig, wenn Sie aber neue Zertifikate einspielen, müssen Sie auch
das entsprechende Zertifikat von Sectigo und das dazugehörende
Intermediate-Zertifikat von GÉANT einspielen!
Dabei gilt:
Wir raten daher dringend davon ab ohne professionelle Verarbeitungssoftware Kreditkartendaten abzufragen und zu verarbeiten! |
Bis auf E-Mail-Zertifikate werden alle Zertifikate nur auf Antrag von EDV-Beauftragten ausgestellt, für OV-Multidomain-SSL-Zertifikate für Institute steht dafür ein Webinterface zur Verfügung.
AnmerkungDie Verschlüsselung (z. B. HTTPS) sagt nichts über die Sicherheit der Daten an sich aus und auch nichts darüber, was z. B. der Empfänger mit den Daten tun wird (unverschlüsselt speichern, veröffentlichen, verkaufen, …), sondern nur etwas darüber, wie die Daten vom Client (z. B. Ihrem Browser) zum Server (z. B. einer Bank-Webseite) übertragen werden. Und auch bei HTTPS gibt es unterschiedliche Sicherheitsniveaus, die Sie sich anschauen sollten. Das bedeutet aber, dass es eine ganze Reihe von Angriffspunkten gibt:
|
SSL- bzw. TLS-Server-Zertifikate
SSL- bzw. TLS-Server-Zertifikate werden u. a. zur Verschlüsselung der Kommunikation mit Webservern (https statt http) benötigt.
Neben einfachen Zertifikaten für einzelne Server gibt es auch Multi-Domain-Zertifikate (ein Zertifikat für mehrere virtuelle Server auf einer gemeinsamen Hardware), aber auch Wildcard-Zertifikte (in der Art *.institut.tugraz.at).
Aufgrund von Vorgaben durch das CA/B-Forum (ein Verband von Browser-Herstellern) gibt es 3 Arten von Server-Zertifikaten:
Da EV-Zertifikate in der Browserdarstellung keinen Vorteil mehr gegenüber OV-Zertifikaten bieten, aber deutlich mehr Aufwand bei der Registrierung erfordern, werden von uns nur mehr OV-Zertifikate unterstützt.
Seit 2022 gibt es keine OU-Einträge mehr, d. h., dass nur mehr die Organisation (Technische Universität Graz), aber keine Institute mehr im Zertifikat angeführt werden. Auch der Ort (Graz) fällt weg, das Bundesland (Steiermark) ist noch möglich.
Die Bestellung der Zertifikate führen EDV-Beauftragte über https://ssl.tugraz.at/ durch, der dort angegebene Link darf nicht weiter gegeben werden, da die Anträge automatisch validiert werden.
Unser neuer Anbieter unterstützt auch das (von Let's Encrypt bekannte) ACME-Protokoll, wenn Sie das mit Certbot nutzen möchten, wenden Sie sich bitte an die TCS-Administratoren.
Falls Browser das Root-Zertifikat nicht kennen, kann man es von der GÉANT-Homepage herunterladen und im Client installieren - wenn am Server die „Certificate-Chain“ (Server- und Intermediate- bzw. Root-Zertifikat) stimmt, dann sollte das Server-Zertifikat dann vom Client (dem Browser bzw. dem E-Mail-Programm etc.) akzeptiert werden.
Falls Ihr Smartphone dem Root-Zertifikat nicht vertraut, können Sie dieses Zertifikat installieren, indem Sie von Ihrem Mobiltelefon aus ebenfalls die GÉANT-Seite mit den Root-Zertifikaten öffnen und von dort das Root-Zertifikat herunter laden. Je nach Betriebssystem des Mobiltelefons müssen Sie dann das Zertifikat noch von der SD-Karte installieren (und z. B. einem WLAN-Profil zuweisen).
Code-Signing-Zertifikate gibt es nur mehr für HSM.
Man kann als ausgewiesener Angehöriger der TU Graz (Personen mit Dienst-/Rechtsverhältnis bzw. Studierende) gratis persönliche E-Mail-Zertifikate über das TCS beantragen, um E-Mails per S/MIME signieren oder auch verschlüsseln zu können. Verfügbar sind diese Zertifikate allerdings nur für ausgewiesene Personen der TU Graz.
Weiters dürfen wir (durch den Vertrag geregelt) Zertifikate nur für E-Mail-Adressen ausgeben, für die wir zentral die Zuordnung E-Mail-Adresse ⇆ Person garantieren können, das trifft nur für Adressen auf den beiden zentralen E-Mail-Servern der TU Graz zu.
Falls sowohl eine Studierenden- als auch eine Bedienstetenadresse im System hinterlegt sind, dann kann (derzeit) nur für die Bedienstetenadresse ein Zertifikat beantragt werden.