CA-Zertifikate
Die nachfolgenden Tabellen enthalten alle jemals eingesetzten X.509-Zertifikate sowohl der Universitätszertifizierungsstelle Münster als auch von den jeweils übergeordneten Zertifizierungsstellen in verschiedenen Formaten. Die Jahreszahlen beziehen sich auf den Einsatzzeitraum, nicht auf den Gültigkeitszeitraum.
Zertifikate werden aus Sicherheitsgründen immer nur für einen begrenzten Zeitraum eingesetzt, der in den Zertifizierungsrichtlinien festgelegt wird. Danach kommen neue Zertifikate zum Einsatz. Die alten Zertifikate bleiben aber bis zum Ende ihrer Lebensdauer gültig und werden weiterhin zum Überprüfen der damit ausgestellten Zertifikate benötigt.
Bei Klick auf Import sollte das im Binärformat übertragene Zertifikat automatisch in Ihr WWW-Programm übernommen werden. Bei Klick auf Binär sollte das im gleichen Format übertragene Zertifikat nur abgespeichert werden. Bei Klick auf Text (.pem) oder Text (.crt) wird der Schlüssel im PEM-Format zum Abspeichern mit der angegebenen Dateinamensendung heruntergeladen. Bei Klick auf Binär (.p7b) wird der Schlüssel im PKCS#7-Format zum Abspeichern mit der angegebenen Dateinamensendung heruntergeladen.
PDF-Zertifikate
Die digitalen PDF-IDs werden direkt vom Wurzelzertifikat unserer eigenen PDF-CA unterschrieben, es gibt also keine Hierarchie oder Kette.
|
PDF-CA (Wurzel-CA) |
|---|---|
Jetzt |
Import (.der) |
„TCS“-Zertifikate
GÉANT-TCS verwendet für unterschiedliche Schlüsselarten (RSA, ECC), unterschiedliche Zertifikatzwecke (Personen, Software-Entwicklung, Server), unterschiedliche Einsatzgebiete (normal, eScience), unterschiedliche Antragswege (normal, ACME) und unterschiedliche Zeiträume (2021→1/2025, 1/2025→3/2025, 3/2025→jetzt) unterschiedliche CA-Zertifikate unterschiedlicher Vertragspartner.
Die Wurzelzertifikate sind in allen aktuellen Programmen eingebaut. Sehr alte Software kennt neuere Wurzelzertifikate noch nicht, daher sind solche Wurzelzertifikate von älteren Wurzelzertifikaten querzertifiziert (cross certified). (Nur) Wer darauf angewiesen ist, dass auch sehr alte Software Verbindungen zu seinem Server aufbauen kann, sollte die Kette mit dem Cross-Zertifikat verwenden.
„Global“-Zertifikate und Vorgänger
Diese Hierarchien wurden bis Ende 2024 genutzt.
„Community“-Zertifikate
|
Zwischen-CA |
Wurzel-CA |
Kette (s. u.) |
|---|---|---|---|
2042 |
DFN-Verein Community Issuing CA 2022 |
DFN-Verein Community Root CA 2022 |
Anmerkungen
Die Spalte Kette enthält Dateien mit den Zertifikaten der CA der Universität Münster und aller übergeordneten Zertifizierungsstellen, einmal mit und einmal ohne das jeweilige Wurzelzertifikat. Wer Apache-WWW-Server betreibt, sollte die Datei ohne Wurzelzertifikat herunterladen und in der Konfigurationsoption SSLCertificateChainFile angeben, um den Nutzenden das Importieren des CA-Zertifikats in den Browser zu ersparen.
Wer andere SSL-/TLS-Server-Software betreibt, sollte ebenfalls erstens den privaten Schlüssel des Servers, zweitens das Serverzertifikat und drittens die Kette ohne Wurzelzertifikat in der Konfiguration ihres Servers angeben. Bei mancher Software kann es erforderlich sein, diese drei Teile einfach in dieser Reihenfolge, ggf. durch Leerzeilen getrennt, hintereinander in eine einfache Textdatei zu kopieren und diese in der Konfiguration anzugeben.
Im Regelfall sollten das Cross-Zertifikat und das alternative Wurzelzertifikat nicht mehr benötigt werden. Nur sehr alte Software kennt die USERTrust-Wurzelzertifikate noch nicht.