CA-Zertifikate

Die nachfolgenden Tabellen enthalten alle jemals eingesetzten X.509-Zertifikate sowohl der Universitätszertifizierungsstelle Münster als auch von den jeweils übergeordneten Zertifizierungsstellen in verschiedenen Formaten. Die Jahreszahlen beziehen sich auf den Einsatzzeitraum, nicht auf den Gültigkeitszeitraum.

Zertifikate werden aus Sicherheitsgründen immer nur für einen begrenzten Zeitraum eingesetzt, der in den Zertifizierungsrichtlinien festgelegt wird. Danach kommen neue Zertifikate zum Einsatz. Die alten Zertifikate bleiben aber bis zum Ende ihrer Lebensdauer gültig und werden weiterhin zum Überprüfen der damit ausgestellten Zertifikate benötigt.

Bei Klick auf Import sollte das im Binärformat übertragene Zertifikat automatisch in Ihr WWW-Programm übernommen werden. Bei Klick auf Binär sollte das im gleichen Format übertragene Zertifikat nur abgespeichert werden. Bei Klick auf Text (.pem) oder Text (.crt) wird der Schlüssel im PEM-Format zum Abspeichern mit der angegebenen Dateinamensendung heruntergeladen. Bei Klick auf Binär (.p7b) wird der Schlüssel im PKCS#7-Format zum Abspeichern mit der angegebenen Dateinamensendung heruntergeladen.

PDF-Zertifikate

Die digitalen PDF-IDs werden direkt vom Wurzelzertifikat unserer eigenen PDF-CA unterschrieben, es gibt also keine Hierarchie oder Kette.

	X.509 PDF-CA (Wurzel-CA)
Jetzt ↑ 2022	Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)

„TCS“-Zertifikate

GÉANT-TCS verwendet für unterschiedliche Schlüsselarten (RSA, ECC), unterschiedliche Zertifikatzwecke (Personen, Software-Entwicklung, Server), unterschiedliche Einsatzgebiete (normal, eScience) und unterschiedliche Antragswege (normal, ACME) unterschiedliche CA-Zertifikate.

Die Wurzelzertifikate „USERTrust ... Certification Authority“ sind in allen aktuellen Programmen eingebaut. Sehr alte Software kennt diese Wurzelzertifikate noch nicht, wohl aber das Wurzelzertifikat „AAA Certificate Services“ von Commodo (heute Sectigo). (Nur) Wer darauf angewiesen ist, dass auch sehr alte Software Verbindungen zu seinem Server aufbauen kann, sollte die Kette mit dem Cross-Zertifikat verwenden.

	X.509 GÉANT-TCS	X.509 Wurzel-CA	X.509 Alternative Wurzel-CA	X.509 Kette (s. u.)
Jetzt ↑ 2021	User-RSA-Zertifikate: GEANT Personal CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	USERTrust RSA Certification Authority Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b) Oder als Cross-Zertifikat von der alternativen Wurzel-CA: Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	AAA Certificate Services Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	User-eScience-RSA-Zertifikate: GEANT eScience Personal CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Code-Signing-RSA-Zertifikate: GEANT Code Signing CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Server-RSA-Zertifikate: GEANT OV RSA CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Server-eScience-RSA-Zertifikate: GEANT eScience SSL CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Server-RSA-Zertifikate per ACME: Sectigo RSA Organization Validation Secure Server CA Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	User-ECC-Zertifikate: GEANT Personal ECC CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	USERTrust ECC Certification Authority Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b) Oder als Cross-Zertifikat von der alternativen Wurzel-CA: Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)		Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	User-eScience-ECC-Zertifikate: GEANT eScience Personal ECC CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Server-ECC-Zertifikate: GEANT OV ECC CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Server-eScience ECC-Zertifikate: GEANT eScience SSL ECC CA 4 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)
	Server-ECC-Zertifikate per ACME: Sectigo ECC Organization Validation Secure Server CA Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel) Oder mit dem Cross-Zertifikat: Text (mit Wurzel) Text (ohne Wurzel)

„Global“-Zertifikate und Vorgänger

	X.509 CA Uni MS	X.509 DFN-PCA	X.509 Wurzel-CA	X.509 Kette (s. u.)
2022 ↑ 2016	DFN-Verein Global Issuing CA Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	DFN-Verein Certification Authority 2 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	T-TeleSec GlobalRoot Class 2 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	Text (mit Wurzel) Text (ohne Wurzel) Text (aktuelle und historische CA-Zertifikate)
2016 ↑ 2014	Zertifizierungsstelle Universitaet Muenster - G02 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	DFN-Verein PCA Global - G01 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	Deutsche Telekom Root CA 2 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	Text (mit Wurzel) Text (ohne Wurzel)
2014		Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b) (widerrufen)		Text (mit Wurzel) Text (ohne Wurzel) (widerrufen)
2014 ↑ 2007	Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)		Text (mit Wurzel) Text (ohne Wurzel)
2007 ↑ 2006	Zertifizierungsstelle Universitaet Muenster (Classic) 2006-2007 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	DFN-Verein PCA Classic - G01 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)		Text (mit Wurzel) Text (ohne Wurzel)
2005 ↑ 2004	Zertifizierungsstelle 2004-2005 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	DFN Toplevel Certification Authority Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)		Text (mit Wurzel) Text (ohne Wurzel)
2003 ↑ 2002	Zertifizierungsstelle 2002-2003 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)			Text (mit Wurzel) Text (ohne Wurzel)
2001 ↑ 2000	Zertifizierungsstelle 2002-2003 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	DFN Top Level Certification Authority Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)		Text (mit Wurzel) Text (ohne Wurzel)

„Community“-Zertifikate

	X.509 Zwischen-CA	X.509 Wurzel-CA	X.509 Kette (s. u.)
2042 ↑ 2022	DFN-Verein Community Issuing CA 2022 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	DFN-Verein Community Root CA 2022 Import (.der) Import (.cer) Binär Text (.pem) Text (.crt) Binär (.p7b)	Text (mit Wurzel) Text (ohne Wurzel)

Anmerkungen

Die Spalte X.509 Kette enthält Dateien mit den Zertifikaten der CA der Universität Münster und aller übergeordneten Zertifizierungsstellen, einmal mit und einmal ohne das jeweilige Wurzelzertifikat. Wer Apache-WWW-Server betreibt, sollte die Datei ohne Wurzelzertifikat herunterladen und in der Konfigurationsoption SSLCertificateChainFile angeben, um den Nutzenden das Importieren des CA-Zertifikats in den Browser zu ersparen.

Wer andere SSL-/TLS-Server-Software betreibt, sollte ebenfalls erstens den privaten Schlüssel des Servers, zweitens das Serverzertifikat und drittens die Kette ohne Wurzelzertifikat in der Konfiguration ihres Servers angeben. Bei mancher Software kann es erforderlich sein, diese drei Teile einfach in dieser Reihenfolge, ggf. durch Leerzeilen getrennt, hintereinander in eine einfache Textdatei zu kopieren und diese in der Konfiguration anzugeben.

Im Regelfall sollten das Cross-Zertifikat und das alternative Wurzelzertifikat nicht mehr benötigt werden. Nur sehr alte Software kennt die USERTrust-Wurzelzertifikate noch nicht.

OpenPGP

Der Vollständigkeit halber finden Sie hier auch alle früher zur Zertifizierung eingesetzten OpenPGP-Schlüssel.

	PGP CA Uni MS	PGP DFN-PCA
	(Betrieb Ende 2011 eingestellt)	(Betrieb Ende 2009 einge­stellt)
2011 ← 2010	Text
2009 ← 2008	Text	Text
2007 ← 2006		Text
2005 ← 2004	Text	Text
2003 ← 2002	Text	Text
2001	Text	Text
2000		Text
1999	Text (Vorläufer)
1998 ← 1997		Text