Hinweise zu den Zertifikats-Files:

Nachfolgende Hinweise mögen dem Umgang mit und der Einsicht in Zertifikats-Dateien dienen:

URZ-Hinweise: 'IT-Sicherheit: Digitale Zertifikate'
Zur Beantragung/Ausfertigung des rp1-Zertifikats wurde:
- an rp1.mirz unter Nutzung des des Befehls
  /opt/is/fmi/sbin/rp1.mirz.handle.cert.bash create-cert-request
  eine Zertifikats-Request-Datei rp1.mirz.uni-jena.de.csr.pem erstellt (Speicherort siehe Skript-Ausgabe)
- und diese Zertifikats-Request-Datei wurde über die WebGUI https://cert-manager.com/customer/DFN/ssl/Uni-Jena-Server-Zertifikat-Antrag-SAML/list entsprechend hochgeladen:
  - 'Enroll Certifikate'
  - Upload CSR
  - rp1.mirz.uni-jena.de.csr.pem
  - Auto Renew = true
  - Days before expiration = 30
  - Submit
  - das Zertifikat wird daraufhin mit Status 'REQUESTED' aufgeführt
  Die Datei rp1.mirz.uni-jena.de.csr.with-text.pem enthält zusätzlich den Klartext des Zertifikats-Requests.
  Bitte unbedingt(!) aus dem WebGUI die entsprechende Cert-ID, Seriennummer und SHA1-Hash irgendwo zusammen mit den Files notieren, sonst verliert sich der Überblick - zumal die Certs so vor Ablauf von Sectigo automatisch verlängert werden und sich im WebGUI aufsummieren.
- der Request bzw. das Zertifikat wird von der CA dann bearbeitet bzw. signiert - daraufhin ergeht eine E-Mail an denjenigen, der sich an obiger WebGUI angemeldet hat

Die nun über die WebGUI https://cert-manager.com/customer/DFN/ssl/Uni-Jena-Server-Zertifikat-Antrag-SAML/list über 'select'/Download beziehbaren Dateien sind:

'Sectigo-WebGUI-Download' Dateiname Kommentar

'Certificate only, PEM encoded' rp1.mirz.uni-jena.de.cert-only.cer.pem nur Endzertifikat; PEM/BASE64-Codierung

'Certificate (w/ issuer after), PEM encoded' rp1.mirz.uni-jena.de.with-issuer-after.cer.pem Endzertifikat mit Zertifikaten der Zwischen-CAs; ohne Root-CA

'Certificat (w/ chain), PEM encoded' rp1.mirz.uni-jena.de.with-chain.cer.pem Root-CA-Cert, gefolgt von Zwischen-CAs- und Endzertifikat

'PKCS#7' rp1.mirz.uni-jena.de.p7b binär

'PKCS#7, PAM encoded' rp1.mirz.uni-jena.de.pkcs7.crt.pam.cer im Download-Dialog erscheint "rp1.mirz.uni-jena.de.crt",
heruntergeladen/angelegt wird jedoch "<angegebener-filename>.cer"!

'Intermediate(s)/Root only, PEM encoded' rp1.mirz.uni-jena.de.intermediates-root-only.cer.pem Zwischen-CAs- gefolgt von Root-CA-Zertifikat

'Root/Intermediate(s) only, PEM encoded' rp1.mirz.uni-jena.de.root-intermediates-only.cer.pem Root-CA- gefolgt von Zwischen-CA-Zertifikaten

Es ist so, dass mehrere der über das 'Sectigo-WebGUI-Download'-Menü herunterzuladenden Dateien verschiedenen Inhalts im Browser-Download-Dialog zunächst die selben Dateinamen(!) erhalten würden. Wie in obiger Spalte 'Dateiname' angegeben, wurden diese Dateien jedoch entsprechend umbenannt.

Es ist auch so, dass obige PEM-codierten Zertifikatsdateien keine "Text-" und selbst keine "Subject"-Informationen enthalten. Mit der, wie oben angedeutet, oft speziell gehaltenen Vergabe von Dateinamen zusammengenommen ist es, sehr höflich formuliert, überaus anstrengend, einen validierenden Überblick zu behalten bevor die Zertifikatsdateien am Bestimmungsort eingespielt werden - zumal verschiedene Servicekomponenten (Webserver, Module, ...) auch das (End-)Zertifikat und (Zwischen-)Zertifikats-Kette einzeln aufbereitet benötigen - teilweise eben auch nur die PEM/BASE64-Codierung (ohne Text-Info) akzeptieren.

Mit folgendem Einzeiler kann bei Bedarf die Issuer/Subject-Information aus einer PEM/BASE64-codierten Zertifikatsdateien ausgelesen werden:
openssl crl2pkcs7 -nocrl -certfile <zertifikats-datei.pem> | openssl pkcs7 -print_certs -text | grep --context=1 -E 'Issuer:|Subject:|-----BEGIN |-----END ' | grep -v -E 'Signature Algorithm|Validity|Subject Public Key Info:|^--$'

Mit folgendem Befehl ist der Zertifikatstext aus der entsprechenden PEM-codierten Datei einsehbar:
openssl x509 -in ./rp1.mirz.uni-jena.de.cert-only.cer.pem -inform=PEM -outform=PEM -text

Ausgabe der Seriennummer (hex) eines Zertifikats kann erfolgen mit:
openssl x509 -noout -serial -in rp1.mirz.uni-jena.de.cert-only.cer.pem

'Sectigo-WebGUI-Download'	Dateiname	Kommentar
'Certificate only, PEM encoded'	rp1.mirz.uni-jena.de.cert-only.cer.pem	nur Endzertifikat; PEM/BASE64-Codierung
'Certificate (w/ issuer after), PEM encoded'	rp1.mirz.uni-jena.de.with-issuer-after.cer.pem	Endzertifikat mit Zertifikaten der Zwischen-CAs; ohne Root-CA
'Certificat (w/ chain), PEM encoded'	rp1.mirz.uni-jena.de.with-chain.cer.pem	Root-CA-Cert, gefolgt von Zwischen-CAs- und Endzertifikat
'PKCS#7'	rp1.mirz.uni-jena.de.p7b	binär
'PKCS#7, PAM encoded'	rp1.mirz.uni-jena.de.pkcs7.crt.pam.cer	im Download-Dialog erscheint "rp1.mirz.uni-jena.de.crt", heruntergeladen/angelegt wird jedoch "<angegebener-filename>.cer"!
'Intermediate(s)/Root only, PEM encoded'	rp1.mirz.uni-jena.de.intermediates-root-only.cer.pem	Zwischen-CAs- gefolgt von Root-CA-Zertifikat
'Root/Intermediate(s) only, PEM encoded'	rp1.mirz.uni-jena.de.root-intermediates-only.cer.pem	Root-CA- gefolgt von Zwischen-CA-Zertifikaten