SSL-Zertifikate für Server

• Kostenlose SSL-Zertifikats-Typen sind im Zertifikate-Portal entsprechend gekennzeichnet. Kostenpflichtige Produkte müssen selbst bezahlt werden.
• SSL-Zertifikate können nur durch Mitarbeiter*innen im aktiven Personalstand und mit einer offiziellen E-Mail-Adresse der Universität Wien (im Format vorname.nachname@univie.ac.at) beantragt werden.
• Zertifikate können nur für Domains ausgestellt werden, deren Inhaber*in die Universität Wien ist. Falls Ihre Domain derzeit auf eine*n andere*n Inhaber*in registriert ist, können Sie diese zur Universität Wien transferieren.
• Für Domains, die auf Mitarbeiter*innen oder Studierende der Universität Wien persönlich registriert sind, können keine Zertifikate ausgestellt werden.
• Ein SSL-Zertifikat der Universität Wien darf nicht für kommerzielle Zwecke verwendet werden.
• Bei Finanztransaktionen sind unter Umständen besondere Vorschriften zu beachten.
• Die Domain muss sich mit allen Services auf den Servern der Universität Wien befinden. Begründete Ausnahmen benötigen eine Genehmigung durch das IT-Security-Team des ZID.
• Ein Wildcard-Zertifikat unter *.univie.ac.at kann nur aus besonderen technischen Gründen ausgestellt werden. Weichen Sie bei Bedarf auf ein Multidomain-Zertifikat aus oder fügen Sie dem Antrag für ein Wildcard-Zertifikat die technische Begründung als Kommentar hinzu.

1. Öffnen Sie das Zertifikate-Portal. Nutzen Sie ausschließlich das Academic Login, um sich anzumelden. Andere Login-Methoden werden vom ZID nicht unterstützt.
   Falls Sie bei der Anmeldung eine Fehlermeldung erhalten, verwenden Sie einen anderen Webbrowser oder löschen Sie die Session-Daten Ihres Browsers.
2. Geben Sie im Suchfeld univie.ac.at ein und wählen Sie den Eintrag Universität Wien aus.
3. Sie werden automatisch zum Weblogin der Universität Wien weitergeleitet. Melden Sie sich mit der UserID Ihres u:accounts (Beispiel: musterm99) und dem zugehörigen Passwort an.
4. Klicken Sie links im Menü auf den Eintrag Server.
5. Im Reiter Domains können Sie die Domains manuell eintippen.
6. Wählen Sie im Reiter Product das von Ihnen gewünschte und als Free (kostenfrei, auf Englisch) gekennzeichnete Zertifikat aus. Kostenpflichtige Produkte müssen selbst bezahlt werden.
7. Laden Sie im Reiter Submit die CSR-Datei hoch, die Sie zuvor auf dem Server generiert haben, für den das Zertifikat vorgesehen ist.
8. Der ZID prüft anschließend den Antrag und gibt diesen so schnell wie möglich frei.
9. Sie werden via E-Mail über den Abschluss benachrichtigt.
10. Im Anschluss können Sie Ihr Zertifikat in mehreren Formaten herunterladen. Der ZID empfiehlt den Download im Format PEM bundle. Dies stellt sicher, dass die komplette Zertifikatskette enthalten ist. So werden auch Endgeräte unterstützt, die nicht aktiv zusätzliche Zertifikate nachladen oder noch nicht das aktuelle Root-CA-Zertifikat haben.

Die maximale Gültigkeitsdauer eines neu ausgestellten SSL-Zertifikats des Zertifikate-Service beträgt aktuell 1 Jahr. Bei Bedarf kann es vor Laufzeitende über das Zertifikate-Portal erneuert werden.

Ein Zertifikat wird bei der Erneuerung technisch nicht verlängert, sondern neu ausgestellt.

Aufgrund der immer kürzer werdenden Lebensspanne von Zertifikaten bietet der ZID alternativ einen ACME-Zugang (Automated Certificate Management Environment) an. Damit wird der gesamte Lebenszyklus von SSL-Zertifikaten automatisiert. ACME macht manuelle Schritte überflüssig, indem es eine standardisierte Kommunikation zwischen ACME-Klienten und der Zertifizierungsstelle nutzt, um Ausstellung, Validierung, Installation, Erneuerung und Widerruf von Zertifikaten zu verwalten.

Der Einrichtungsaufwand lohnt sich besonders bei vielen Diensten bzw. Hosts sowie in dynamischen Umgebungen (etwa Container) und dient der Minimierung von Ausfallrisiken durch ablaufende Zertifikate.

Ein ACME-Zugang für SSL-Zertifikate wird via Servicedesk-Formular beantragt.

Bei Fragen steht Ihnen das Servicedesk-Formular SSL-Zertifikat (Login) zur Verfügung.