Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
zertifikate [2009/08/25 15:51] cg301zertifikate [2009/10/28 10:57] (aktuell) – gelöscht bazi
Zeile 1: Zeile 1:
-====== Zertifikate ====== 
-Die Uni-FR CA ist eine Zertifizierungsstelle der Universität Freiburg, die vom DFN-Verein in deren Auftrag betrieben wird. Die Zertifikate werden von der übergeordneten Zertifizierungsstelle der DFN-PKI (DFN-PCA) ausgestellt  Das Format der Zertifikate folgt der ITU-Empfehlung X.509. (PGP-Zertifikate werden vom Rechenzentrum nicht ausgestellt. Bitte informieren Sie sich z.B. beim Verein FreiCA e.V.) Seit März 2007 wird die Uni-FR CA im Sicherheitsniveau "Global" betrieben. Die Wurzelinstanz ist dabei vom DFN zur Root CA 2 der Deutschen Telekom übergegangen. Die seit diesem Zeitpunkt beantragten Zertifikate haben eine verlängerte Gültigkeitsdauer. 
  
-===== Die Struktur der Zertifizierungshierarchie - Sicherheitsniveau GLOBAL ===== 
- 
-  - **Wurzelzertifizierungsstelle Deutsche Telekom Root CA 2**: Das Wurzelzertifikat dieser Instanz beglaubigt das CA-Zertifikat der DFN-PKI im Sicherheitsniveau Global G01. Dieses Wurzelzertifikat ist in Windows Betriebssystemen (und damit in allen Microsoft-Anwendungen) vorinstalliert (lesen Sie dazu die Anmerkung zu Vista in der [[http://www.pki.dfn.de/index.php?id=faqpki-windows&L=0#c12953|DFN-PKI-FAQ]]). Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie sollte bis Mitte 2007 erfolgen, wurde aber leider bis zur Veröffentlichung von Firefox Version 3 immer noch nicht durchgeführt. Siehe dazu eine [[http://www.pki.dfn.de/index.php?id=integration|Status-Seite]] zur Integration der Zertifikate der DFN-PKI Global in Anwendungen und Betriebssysteme. 
-  - **Zertifizierungsstelle der DFN-PKI (angesiedelt beim DFN-Verein)**:Das Zertifikat dieser Zwischeninstanz wird beglaubigt vom Wurzelzertifikat der Deutschen Telekom und beglaubigt seinerseits alle davon abgeleiteten Zertifikate, u.a. das Zertifikat der Uni-FR CA. 
-  - **Zertifizierungsstelle der Universität Freiburg Uni-FR CA (angesiedelt beim DFN-Verein)**: Das Zertifikat dieser Einrichtung wird vom DFN-Zertifikat beglaubigt und beglaubigt seinerseits alle davon abgeleiteten persönlichen oder Server-Zertifikate. 
-  - **Registrierungsstelle (RA) der Uni-FR CA (angesiedelt beim Rechenzentrum der Universität Freiburg)**: Diese Einrichtung identifiziert die AntragstellerInnen und genehmigt die beantragten Zertifikate. 
- 
-**Der Betrieb der Uni-FR CA ist in folgenden Dokumenten geregelt:** 
- 
-    * [[http://www.pki.dfn.de/index.php?id=policies|Policies der DFN-PKI]] 
-    * {{:uni-freiburg-cps-2.2.pdf|CPS der Uni-FR CA}}: Erklärung zum Zertifizierungsbetrieb der UNI-FR CA in der Public Key Infrastruktur im Deutschen Forschungsnetz 
- 
-===== Das Wurzelzertifikat und die Zertifikate der DFN-CA und der Uni-FR CA ===== 
- 
-Um die Vorteile der Zertifizierung von Webseiten oder E-Mails durch die Uni-FR CA nutzen zu können (und bevor Sie ein eigenes Zertifikat beantragen), muss zumindest das Wurzelzertifikat im Betriebssystem bzw. dem Zertifikatsspeicher der nicht zum Betriebssystem gehörenden Web-Anwendung installiert sein. 
- 
-Das Zertifikat der Wurzelzertifizierungsstelle Deutsche Telekom Root CA ist im Microsoft Internet Explorer und in Windows Betriebssystemen vorinstalliert. Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie wurde weiter oben bereits kommentiert. 
- 
-Sie finden diese Zertifikate (zur Kontrolle mit den Fingerprints) unter den nachfolgenden 3 Links: 
- 
-(Der Server muss folgenden Mime-Type verarbeiten können:  ".crt" = application/pkix-cert) 
- 
-  * für das [[http://www.rz.uni-freiburg.de/g_deutsche-telekom-root-ca-2.crt|Wurzelzertifikat der Deutschen Telekom AG]] (Gültigkeit: 9.7.1999 - 10.7.2019) 
-    * MD5 Fingerprint  = 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08 
-    * SHA1 Fingerprint = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF 
- 
-  * für das [[http://www.rz.uni-freiburg.de/g_dfn_intermediatecert.crt|Zertifikat der DFN-PKI]] (Gültigkeit: 19.12.2006 - 1.7.2019) 
-    * MD5 Fingerprint  = CA:5A:00:CF:78:D1:4B:A7:E1:7F:DE:59:67:71:3A:BC 
-    * SHA1 Fingerprint = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45 
- 
-  * für das [[http://www.rz.uni-freiburg.de/g_unifrcacert.crt|Zertifikat der Uni-FR CA]] (Gültigkeit: 6.3.2007 - 5.3.2019) 
-    * MD5 Fingerprint  = 19:4D:D1:CD:5A:98:96:F6:1C:E9:E0:8C:96:34:23:51 
-    * SHA1 Fingerprint = A5:4E:4C:DC:DA:BC:BD:3B:59:09:D9:E1:E2:6E:3B:0D:F9:88:52:4F 
- 
-oder auf der [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2|Webseite der Uni FR CA]]  
- 
- 
-Diese Seite setzt die Installation der oben aufgeführten Wurzelzertifikate bereits voraus. Sie müssen also bei diesem Zugangsweg das Server-Zertifikat für die aktuelle Sitzung akzeptieren. Einfacher ist deshalb der Import mit Hilfe der drei darüber aufgeführten Links. 
- 
-  
-Speziell für die GRID-Zertifikate gehen Sie auf diesen Link, um das[[https://pki.pca.dfn.de/grid-root-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2|Grid Root CA Zertifikat]] in Ihrem Browser zu installieren. 
-Diese Seite setzt die Installation der oben aufgeführten Wurzelzertifikate voraus. 
- 
-Üblicherweise verwenden Sie das DER-Format, um das Zertifikat in einen Webbrowser zu importieren. 
- 
-Durch den Vergleich der Fingerprints kann man sich beim Import mit eigenen Augen davon überzeugen, ob man ein unverfälschtes Zertifikat vom Server erhalten hat. 
- 
-Jeder Web-Browser verfügt über seinen eigenen Zertifikatsspeicher. Das bedeutet also z.B., dass ein Zertifikat, das in Mozilla Suite importiert wurde, nicht im MS Internet Explorer zur Verfügung steht. Ebenso ist ein in Mozilla Firefox importiertes Zertifikat in anderen Anwendungen nicht verfügbar, selbst Mozilla Thunderbird kennt es nicht. Eine Sonderstellung nimmt der Internet Explorer insofern ein, als ein dort importiertes Zertifikat allen Microsoft Anwendungen (z.B. Outlook, Outlook Express) zur Verfügung steht. 
- 
-In der Anleitung 
- 
-    * [[Import der Zertifikatskette]] 
- 
-zeigen wir Ihnen, wie Sie grundsätzlich Zertifikate importieren, mit denen sich Zertifizierungsstellen ausweisen. 
- 
- 
-**Tipp:** 
-Falls Sie Ihre Mails mit einem persönlichen Zertifikat unterschreiben oder einen Service über das Internet anbieten, der sich den Benutzern gegenüber mit einem Server-Zertifikat ausweist, ist es nützlich und ratsam, die Kommunikationspartner auf das Wurzelzertifikat hinzuweisen. Das kann bei Mails im Signaturtext zusammen mit Name und Adresse geschehen, in einem Hinweistext auf der Frontseite des Web-Auftrittes oder in der Dokumentation. Verwenden Sie die obige DFN-Webadresse für den Bezug der Zertifikate. 
- 
-Sie können aber auch einfach einen Verweis auf diese Wiki-Seite anbringen, damit sich die Kommunikationspartner auch über die Hintergründe Ihrer Sicherheitseinstellungen informieren können. 
- 
-===== Der Weg zum eigenen Zertifikat ===== 
- 
-==== Der Antrag ==== 
- 
-Bevor Sie ein Zertifikat beantragen, sollten Sie die obigen Richtlinien und Erklärungen zum Zertifizierungsbetrieb durchlesen. Dort werden die Regeln festgelegt, nach denen die einzelnen Zertifizierungsinstanzen arbeiten. Neben den Richtlinien (CP, CPS) der DFN-PCA, kommen auch die lokalen Besonderheiten der Uni-FR CA und ihrer RA zur Geltung. 
- 
-Das weitere Vorgehen hängt davon ab, ob Sie ein 
- 
-   - persönliches X.509-Zertifikat 
-          * zum Unterschreiben und/oder verschlüsseln von Mails nach dem S/MIME-Verfahren bzw. 
-          * zur Authentisierung der VPN-Verbindung im Rahmen des [[http://mopoinfo.vpn.uni-freiburg.de/|MOPO-Projektes der Informatik]] 
-            oder ein 
-   - X.509 Serverzertifikat benötigen. 
- 
- 
- 
-Es liegen gesonderte Beschreibungen vor für das 
- 
-    * Beantragen eines persönlichen Zertifikates (X.509): Gültigkeit der persönlichen Zertifikate: 3 Jahre ab Genehmigung 
- 
-sowie das 
-    * [[Serverzertifikat|Beantragen eines Serverzertifikates]] (X.509): Gültigkeit der Serverzertifikate: 5 Jahre ab Genehmigung 
- 
- 
-In beiden Fällen wird die Antragstellung in einfacher Weise über die folgende Web-Adresse der Uni-FR CA bei der DFN-PCA durchgeführt: 
- 
-  - [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki|Für normale Nutzer- und Server-Zertifikate]]     
-  - [[https://pki.pca.dfn.de/grid-root-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=133|Für GRID Nutzer- und Server-Zertifikate]] 
- 
- 
-Im Falle eines Serverzertifikates kommt hinzu, dass Sie das Schlüsselpaar und den dazugehörenden Certificate Signing Request (CSR) selbst erzeugen müssen, üblicherweise mit den Mitteln, die der Server bietet (z.B. OpenSSL). Während der Antragstellung wird der CSR dann an die Uni-FR CA übertragen. 
- 
-Die Schlüssellänge beträgt grundsätzlich 2048 bit. 
- 
-Verwenden Sie bitte auf der Eingabemaske keine nationalen Sonderzeichen. 
-Ersetzen Sie nach folgenden Regeln: 
- 
-    * erlaubte Zeichen: a-z  A-Z  0-9  '  (  )  +  ,  -  .  /  :  =  ?  Leerzeichen 
-    * deutsche Sonderzeichen ersetzen Sie durch die deutsche Umschreibung (ä -> ae, Ä -> Ae, ß -> ss usw.) 
-    * andere Sonderzeichen ersetzen Sie durch den betreffenden Buchstaben ohne Akzent 
- 
- 
-Die Antragstellung endet mit dem Ausdruck eines Formulares, das Sie bitte komplett ausgefüllt und unterschrieben zur RA mitbringen. 
-Wir bitten dringend um eine Terminabsprache mit der RA per EMail oder Telefon (Sprechzeiten beachten!). 
- 
-**Achtung:** 
-Zertifikatanträge, die älter als drei Monate sind, werden wir bei der nächsten Routinekontrolle löschen. 
- 
-==== Die persönliche Identifizierung ==== 
- 
-In der RA weisen Sie sich anhand eines gültigen Personalausweises oder Reisepasses gegenüber der Kontaktperson aus. 
- 
-Falls Sie ein Server-Zertifikat beantragen, bringen Sie bitte ein Bestätigungsschreiben Ihres Institutes mit, aus dem hervorgeht, dass Sie Administrator des betreffenden Servers sind. 
- 
-Ihr Antrag wird dann umgehend genehmigt, sofern kein Hinderungsgrund vorliegt. Die Uni-FR CA sendet Ihnen das Zertifikat in der Regel dann innerhalb weniger Minuten per EMail zu. 
- 
-==== Die Verlängerung der Zertifikate ==== 
- 
-Wie weiter oben schon erwähnt gelten 
- 
-    * die persönlichen Zertifikate 3 Jahre ab Genehmigung 
-    * die Serverzertifikate 5 Jahre ab Genehmigung 
- 
- 
-Als Zertifikatnehmer/in erhalten sie von der DFN-PKI 30 und 15 Tage vor Ablauf des Zertifikats eine Email, in denen Sie gewarnt werden, dass das Zertifikat abläuft. In der Mail ist eine Beschreibung enthalten, was zu tun ist. 
- 
-Kurz zusammengefasst läuft die Verlängerung folgendermaßen ab: 
- 
-**Methode 1** (mit Unterschrift, für beide Zertifikatstypen anwendbar): 
- 
-   - Sie stellen auf den Webseiten der Uni-FR CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages. 
-   - Das Antragsformular drucken Sie aus wie beim vorigen mal, tragen die fehlenden Angaben von Hand ein und unterschreiben. 
-   - Sie senden das unterschriebene Antragsformular per Hauspost an die RA oder legen es persönlich nach Absprache vor. Wenn Sie Serverzertifikate erneuern wollen, legen Sie bitte auch eine Bescheinigung der beschäftigenden Einrichtung vor, dass Sie berechtigt sind, die betreffenden Server zu verwalten. Beim Postversand vergleicht die RA die Unterschrift mit der des alten Antrages und stellt fest, ob der/die Antragsteller/in noch berechtigt ist, ein Zertifikat zu erhalten. 
-   - Bei positivem Ergebnis genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt. 
-   - Bei negativem Ergebnis nimmt die RA mit dem/der Antragsteller/in Kontakt auf. 
- 
- 
-**Methode 2** (mit Zertifikat, nur für Benutzer-Zertifikate): 
- 
-   - Sie stellen auf den Webseiten der Uni-FR CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages. 
-   - Sie senden eine Mail an die RA mit der Bitte um Verlängerung und unterzeichnen diese Mail mit dem Zertifikat, dessen Verlängerung Sie beantragt haben. Ihr Zertifikat sollte zu diesem Zeitpunkt natürlich noch gültig sein. 
-   - Bei positivem Ergebnis der Zertifikatsprüfung genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt. 
-   - Bei negativem Ergebnis der Zertifikatsprüfung nimmt die RA mit dem/der Antragsteller/in Kontakt auf. 
- 
-Das eigtl. naheliegende Konzept, zu einem existierenden Schlüssel einfach ein neues Zertifikat herzustellen, stößt spätestens bei Microsoft-Anwendungen auf Hindernisse, da Sie dort nicht so ohne weiteres ein neues Zertifikat zu einem alten Schlüssel importiert bekommen. Daher unsere Empfehlung, einfach ein neues Zertifikat mit neuem Schlüssel zu erstellen. 
- 
- 
- 
-==== Sperren eines Zertifikates ==== 
- 
-Sie können Ihr Zertifikat sperren lassen, wenn Sie befürchten, dass Ihr geheimer Schlüssel ausspioniert wurde und das Zertifikat von unberechtigten Personen genutzt werden könnte. Ein anderer möglicher Grund ist, dass Ihr geheimer Schlüssel verloren gegangen ist, z. B. nach Absturz und Neuinstallation Ihres Rechners, auf dem der private Schlüssel installiert war. 
- 
-Durch das Sperren wird ein Zertifikat auf die sogenannte Sperrliste (CRL- Certificate revocation list) gesetzt. Diese enthält die Seriennummern von Zertifikaten, die vor Ablauf ihrer regulären Gültigkeit für ungültig erklärt wurden. 
- 
-Zum Sperren besuchen Sie die dafür vorgesehene Webseite des DFN-Vereins und geben dort die Seriennummer des Zertifikates und auf Wunsch den Grund für die Sperrung ein. Die Angabe eines Grundes hilft beim späteren Nachvollziehen des Vorganges. 
- 
-Die Seriennummer finden Sie in der Mail, mit der Ihnen das Zertifikat von der Zertifizierungsstelle zugeschickt wurde. Falls Sie die Seriennummer nicht mehr finden können, wechseln Sie auf der Webseite zu "Zertifikat suchen" und geben die Mailadresse (bei Benutzer-Zertifikaten) oder den Servernamen (bei Server-Zertifikaten) ein. Sie erhalten eine Liste von Seriennummern der Zertifikate, auf die die Suchanfrage passt. 
- 
-Nachdem Sie die Seriennummer und evtl. den Grund abgeschickt haben werden Sie nach der PIN gefragt, die Sie bei der Beantragung angegeben haben. Ohne diese PIN sind Sie nicht in der Lage, die Sperrung durchzuführen und müssen die Hilfe der Registrierungsstelle in Anspruch nehmen. 
- 
-Wenn Ihr Antrag zur Sperrung gelingt, wird die Registrierungsstelle automatisch informiert und schließt den Sperrvorgang mit der Genehmigung ab. 
- 
-Anschließend erscheint das Zertifikat mit Seriennummer in den öffentlich zugänglichen Sperrlisten des DFN-Vereins, kann eingesehen und von den diversen Web-Clients (Browser, Mailprogramme usw.) automatisch ausgelesen werden. 
-  
-==== Installieren der Sperrliste ==== 
- 
-Sie sollten sich einmal mit Ihrem Browser auf die Sperrlisten-Seite begeben und die Liste installieren. Danach ist der Browser in der Lage, fremde Zertifikate auf Sperrung zu überprüfen. Der Browser aktualisiert automatisch die Liste in konfigurierbaren Abständen. 
- 
-Um die Sperrliste in den Zertifikats-Einstellungen zu importieren, müssen Sie in der angezeigten Maske einfach nur auf den Link der Sperrliste klicken. Sie bekommen auf dieser Seite neben der Liste für das aktuelle Sicherheitsniveau "Global" (oben im Menue) auch die Sperrliste für das Sicherheitsniveau "Basic" (Hinweis im Text) angeboten. 
- 
-Einige weitere Hinweise und Bildschirmkopien finden Sie auf der Seite Zertifikats-Sperrlisten in der Linksammlung zur Dokumentation. 
- 
-==== Bekannte Probleme ==== 
- 
-Problem: Netscape Navigator akzeptiert die Zertifikate vom Typ GLOBAL nicht 
- 
-Folgende Fehlermeldung kann auftreten, wenn Sie eine verschlüsselte Seite aufrufen wollen, die ein DFN-Zertifikat vom Type Global präsentiert: 
- 
-{{:netscape_fehler.jpg|}} 
- 
- 
-Es gelingt nicht, die Seite zur Anzeige zu bringen. 
-Das gilt auch für Netscape 7.1 
- 
-Die Fehlermeldung tritt unabhängig davon auf, ob Sie das Wurzelzertifikat oder die ganze Zertifikatskette installiert haben. 
- 
-Für dieses Problem existiert keine Korrekturmöglichkeit. 
- 
-Unser Empfehlung: Wechseln Sie zu einem anderen Produkt. Z.B. gelingt der Umstieg auf Mozilla Firefox ohne Probleme. 
- 
- 
-{{tag>sicherheit}} 
QR-Code
QR-Code zertifikate (erstellt für aktuelle Seite)