Allgemeines

Zerti­fikate

Ein X.509-Zerti­fikat dient dazu, die Identi­tät z.B. einer Person oder eines Servers all­gemein bekannt zu geben.  Dazu gehört ein geheimer Schlüssel (private key), den nur der Inhaber des Zerti­fikats kennt.  Die Sicher­heit, die durch das X.509-Zerti­fikat gegeben wird, hängt in erster Linie von der Geheim­haltung dieses Schlüssels ab. (Es lassen sich alle Opera­tionen mit dem Zerti­fikat durchführen, ohne dass der geheime Schlüssel bekannt geben werden muss.)

Ein X.509 Zerti­fikat bein­haltet die Unter­schrift der Instanz, welche die Identität des Zerti­fikatinhabers beglaubigt. In unserer Umge­bung wird die Unter­schrift nach Prüfung durch das Rechenzentrum (UniBwM CA-G01) erteilt. Wer dieser Instanz, hier dem RZ, Ver­trauen schenkt, traut auch der Identität der Inhaber aller von dieser Instanz unter­schrie­benen Zerti­fikate. Somit kann eine Ver­trauens­kette bzw. Hierarchie aufgebaut werden. Das Zerti­fikat von "UniBwm CA-G01" basiert auf dem Zerti­fikat von "DFN-Verein PCA Global - G01" und dies wiederum auf dem von "Deutsche Telekom Root CA 2". Darum genügt es in den meisten Fällen, dem Zerti­fikat der "Deutsche Telekom Root CA 2" zu vertrauen.

Alle Zerti­fikate sind nur einen beschränkten Zeitraum lang gültig. Dieser steht im Zerti­fikat. Wenn die Not­wendig­keit besteht (beispielsweise wenn der geheime Schlüssel bekannt wird), kann die unter­schrei­bende Instanz einem Zerti­fikat, das sie aus­ge­stellt hat, das Ver­trauen vorzeitg ent­ziehen. In Form einer Sperr­liste gibt diese Instanz die Zerti­fikate allen bekannt, denen sie das Vertrauen entzogen hat. Ferner kann auch ein Server-Dienst diese Infor­mation durch das Online Certificate Status Protocol (OCSP) bekannt geben, so dass sie immer aktuell verfügbar ist.

Einsatz von persönlichen Zerti­fikaten

Der Inhaber eines persönlichen X.509 Zerti­fikats kann damit Nach­richten und Dateien digital unter­schreiben, so dass der Empfänger fest­stel­len kann, ob die digi­tal unter­schrie­bene Nach­richt oder Datei wirk­lich von dem In­haber des Zerti­fikat unter­schrieben wurde. Ferner kann der Empfänger fest­stellen, ob der Inhalt der Nach­richt oder die Datei ver­ändert oder ver­fälscht wurde.

Der Inhaber eines X.509 Zerti­fikats kann auch Nach­richten und Dateien ver­schlüs­seln und an einen Empfänger, der selbst ein eigenes X.509 Zerti­fikat be­sitzt, senden, ohne dass Aussen­ste­hende den Inhalt lesen können.

Veraltetes Wurzel­zerti­fikat des RZ

Bis 2007 hat das Rechen­zentrum eigene selfsigned Zer­ti­fi­kate aus­ge­stellt. Diese Zer­ti­fikate ver­fielen im Herbst 2008.
Jetzt ist die UniBwM Teil der DFN-PKI. Neue Zerti­fikate wer­den nur noch inner­halb der DFN-PKI erzeugt. Weitere Infor­ma­tionen dazu unter http://www.unibw.de/rz/dienste/pki.

Aktuelle Informationen unter
 
http://www.unibw.de/rz/dienste/pki