Die Zertifizierungsstelle der Universität Freiburg ist mehr oder weniger ein Proxy zu einer gemeinsam vom GEANT bestimmten Auftragnehmer. Grundsätzlich werden zwei Zertifikatstypen unterschieden: Nutzerzertifikate (für Personen / Mail) und Serverzertifikate (für Dienste).

Nutzerzertifikate dienen vorrangig der Absicherung von E-Mail-Kommunikation (Signatur und Verschlüsselung). Folgende Varianten werden angeboten:

• Enthalten zusätzlich: Vor- und Nachname, Organisationsdaten (Universität Freiburg) und bis zu 3 E-Mail-Adressen bzw. E-Mail-Aliase.
• Voraussetzung: Einmalige Ausweiskontrolle (siehe Identitätsprüfung).

IV/OV-Nutzerzertifikate werden empfohlen, weil sie ein deutlich höheres Vertrauensniveau bieten als einfache E-Mail-Only-Zertifikate. Durch die einmalige Ausweiskontrolle sind sowohl die Identität der Person als auch die Zugehörigkeit zur Universität verifiziert. Dadurch enthalten die Zertifikate nicht nur eine geprüfte E-Mail-Adresse, sondern auch den echten Namen und die Organisationsdaten. Dies erhöht die Glaubwürdigkeit von digital signierten E-Mails und ist besonders wichtig in der offiziellen Kommunikation, bei Kontakt mit externen Partnern oder in Bereichen, in denen Verbindlichkeit und Nachweisbarkeit eine Rolle spielen. Zudem erleichtern IV/OV-Zertifikate die Zuordnung von Nachrichten und bieten langfristig eine höhere Sicherheit gegen Identitätsmissbrauch.

Die Beantragung erfolgt über das Universitäts-Cert-Portal, die Beantragung über das Portal ist dabei in jedem Schritt selbsterklärend: https://cert.escience.uni-freiburg.de

E-Mail-Only-Zertifikate verifizieren ausschließlich die Kontrolle über ein bestimmtes E-Mail-Postfach und stellen keine bestätigte Identität der dahinterstehenden Person dar. Entscheidend ist allein, dass die antragstellende Person Zugriff auf die entsprechende Mailadresse hat – weitere persönliche Daten oder eine Ausweisprüfung sind nicht Bestandteil des Prozesses.

Damit eignen sich E-Mail-Only-Zertifikate vor allem für einfache und schnelle Einsatzszenarien, bei denen die technische Absicherung der E-Mail-Kommunikation im Vordergrund steht, jedoch keine überprüfte persönliche Identität nachgewiesen werden muss. Da im Zertifikat nur die E-Mail-Adresse bestätigt wird, bieten sie ein geringeres Vertrauensniveau und sind insbesondere für interne oder weniger formale Kommunikationssituationen geeignet.

• Validieren ausschließlich die E-Mail-Adresse.
• Keine persönliche Ausweisprüfung erforderlich.

Diese Zertifikate könne direkt über das HARICA-Portal bezogen werden: https://cm.harica.gr

Eine Anleitung für die Beantragung im HARCIA-Portal kann hier abgerufen werden: https://wiki.uni-freiburg.de/rz/doku.php?id=harica-nutzerzertifikate

Gruppenzertifikate sind speziell für Funktions- und Gruppenadressen gedacht – also E-Mail-Konten, die von mehreren Personen gemeinsam genutzt werden, etwa sekretariat@… oder support@…. Da diese Postfächer keiner einzelnen natürlichen Person gehören, können sie ausschließlich als E-Mail-Only-Zertifikate ausgestellt werden. Eine persönliche Identitätsprüfung wäre hier weder sinnvoll noch möglich, da das Zertifikat nicht eine bestimmte Person bestätigt, sondern ausschließlich die Kontrolle über die gemeinsame Mailbox.

Gruppenzertifikate ermöglichen es mehreren berechtigten Nutzer*innen, E-Mails im Namen der Funktionsadresse sicher zu signieren und zu verschlüsseln. Dadurch wird eine konsistente und vertrauenswürdige Kommunikation gewährleistet – besonders in Bereichen, in denen Teams oder Arbeitsgruppen gemeinsam unter einer zentralen Adresse auftreten. Das kann gleichzeitig sein oder auch bei Übergabe der Funktion an eine neue Person.

• Für Funktions- / Gruppenadressen (z. B. sekretariat@…).
• Validieren ebenfalls die Mailbox (keine Ausweisprüfung).

Damit ein Gruppenzertifikat für eine Funktions- oder Gruppenadresse erstellt werden kann, müssen die beteiligten Nutzer*innen, die Zugriff auf dieses Postfach haben sollen, einmalig registriert werden.

Vorgehen:

• Vorab: einmalige Registrierung der Nutzer*innen, die Zugriff auf die Funktionsadresse benötigen.
• Registrierung per E-Mail an: pki@rz.uni-freiburg.de

Inhalt der Registrierungs-E-Mail:

• RZ-Kürzel der betreffenden Nutzer*innen
• die zugehörige Funktionsadresse (z. B. sekretariat@…, support@…)

Nach der erfolgreichen Registrierung kann das Gruppenzertifikat im Portal erstellt und abgeholt werden:

• Einloggen unter https://cert.escience.uni-freiburg.de
• Bereich Group auswählen

Für die Ausstellung von IV/OV-Nutzerzertifikaten ist eine einmalige Identitätsprüfung erforderlich, da diese Zertifikate neben der E-Mail-Adresse auch personenbezogene und Organisationsdaten enthalten.

Es stehen folgende Prüfwege zur Verfügung:

• Vor-Ort-Kontrolle beim Nutzerservice:

Nutzer*innen bringen einen gültigen Lichtbildausweis oder Reisepass mit. Der Nutzerservice überprüft die Identität sowie die Zugehörigkeit zur Universität Freiburg. Nach erfolgreicher Kontrolle wird die Freigabe für das IV/OV-Zertifikat erteilt.

• Digitale Verknüpfung BundID ↔ HISinOne:

Nutzer*innen verknüpfen ihre persönliche BundID mit ihrem HISinOne-Account. Nach Abschluss der Verknüpfung ist eine kurze Mitteilung an den Nutzerservice erforderlich, damit die digitale Verbindung überprüft und freigegeben wird. Auch auf diesem Weg wird die Identität und Zugehörigkeit zur Universität verifiziert.

Kontakt für Fragen oder Freigaben: 📧 pki@rz.uni-freiburg.de

Serverzertifikate sichern Web- und andere Dienste, z. B. HTTPS, Mailserver oder interne Dienste. Aufgrund der laufenden Reduktion der maximal erlaubten Gültigkeitsdauer für TLS/SSL-Zertifikate durch das CA/Browser-Forum ist es dringend empfohlen, ACME-gestützte automatisierte Zertifikatsverwaltung zu nutzen. Ohne Automatisierung müssten Zertifikate regelmäßig manuell neu erstellt und auf den Servern eingespielt werden, um die jeweils gültigen Maximallaufzeiten einzuhalten.

Beantragung von Serverzertifikaten kann erfolgen:

• automatisiert über ACME
• manuell über das HARICA-Portal

Die CA/Browser-Forum-Regelung reduziert die maximal erlaubte Gültigkeitsdauer für öffentliche TLS/SSL-Zertifikate schrittweise. Die verbindliche Zeitplanung lautet (Zertifikate ausgestellt ab dem Datum):

*Hinweis:* Auch die maximale Dauer, über die Validierungsdaten (z. B. Domain-Validation) wiederverwendet werden dürfen, wird entsprechend reduziert (z. B. 398 → 200 → 100 → 10 Tage für DV-Datenreuse). Ohne automatisierte Erneuerung müssten Administrator*innen diese Fristen manuell überwachen und die Zertifikate rechtzeitig neu erstellen und auf allen Servern einspielen.

Wir bieten zwei Möglichkeiten, Serverzertifikate automatisiert über ACME zu beziehen:

• Universitäts-ACME-Proxy:
  • Der Proxy kann ohne zusätzliche Autorisierung aus dem Uni-Netz verwendet werden.
  • Es müssen keine EAB-Credentials auf den Servern gespeichert werden.
  • Zertifikate enthalten OV-Daten der Organisation, d. h. die Zugehörigkeit zur Universität Freiburg ist im Zertifikat eindeutig vermerkt.
  • Vorteile:
    • Vollständig automatisierte Zertifikatsausstellung und -erneuerung
    • Keine manuelle Überwachung der Gültigkeitsfristen notwendig
    • Minimiert das Risiko von abgelaufenen Zertifikaten im produktiven Betrieb

• ACME über HARICA (eigener Account):
  • Nutzer*innen können über das HARICA-Portal bis zu drei eigene ACME-Accounts pro Person erstellen.
  • Ausgestellt werden ausschließlich Domain-Validated (DV) Zertifikate.
    • Ein DV-Zertifikat bestätigt, dass die antragstellende Person Kontrolle über die betreffende Domain hat.
    • Es werden keine personenbezogenen Daten der Nutzer*innen verifiziert.
  • EAB-Credentials (External Account Binding) müssen auf dem Server hinterlegt werden, damit die automatisierte Erneuerung funktioniert.

Eine Anleitung für die Nutzung des ACME-Proxies finden Sie hier: https://wiki.uni-freiburg.de/rz/doku.php?id=acme

• Manuelle Beantragung über das HARICA-Portal bleibt weiterhin möglich: https://cm.harica.gr
• Hinweis: Bei manueller Beantragung müssen Administrator*innen die oben genannten maximalen Laufzeiten genau beachten und die Zertifikate rechtzeitig neu erstellen und auf allen Servern einpflegen.
• Eine Anleitung über die Beantragung über das Harica-Portal finden Sie hier: |https://wiki.uni-freiburg.de/rz/doku.php?id=harica-serverzertifikate

• Aufgrund der häufigeren Erneuerungen (200 / 100 / 47 Tage) empfehlen wir dringend die Nutzung des ACME-Proxys, um administrative Aufwände zu reduzieren und Ausfallrisiken zu vermeiden.
• Für E-Mail- oder Personenzertifikate mit offizieller Identität weiterhin IV/OV-Zertifikate nutzen und die einmalige Ausweiskontrolle einplanen.
• Gruppenzertifikate sind praktisch für Funktionspostfächer, ersetzen aber kein persönliches IV/OV-Zertifikat für offizielle Kommunikation.

• HARICA (Personen- & Serverzertifikate): https://cm.harica.gr
• Univ. Cert-Portal (Personen, Group): https://cert.escience.uni-freiburg.de
• Registrierung / Ausweiskontrolle / Fragen: pki@rz.uni-freiburg.de

• CA/Browser Forum — Ballot SC-081v3 (Zeitplan zur Reduktion der Gültigkeitsdauer https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/).
• CA/Browser Forum — Baseline Requirements (|https://cabforum.org/working-groups/server/baseline-requirements/documents/).