PKI

PKI

UniBwM CA - Zertifikate an der UniBwM

Die Uni­ver­si­tät der Bun­des­wehr Mün­chen (UniBwM) ist Teil der Public-Key-Infra­struk­tur (PKI) des DFN-Vereins, kurz DFN-PKI. Da­durch kön­nen Uni­ver­si­täts­an­ge­hö­rige im Re­chen­zent­rum Ser­ver­zer­ti­fi­kate (Stich­wort https) und per­sön­liche Zer­ti­fi­ka­te (für digi­tale Unter­schrif­ten und, wenn ge­wünscht, zur Datei­ver­schlüs­se­lung) be­an­tragen.

Allgemeines zu Zertifikaten der UniBwM CA

  • eTokenPro-USB-Stick"Private-keys" von persönlichen Zer­ti­fi­kate wer­den nur auf Krypto-Ge­rä­ten aus­ge­ge­ben. Da­mit soll ver­hin­dert wer­den, dass (ge­wollt oder un­ge­wollt) wei­te­re Ko­pien des "private-key" ent­ste­hen. Für ihre Nut­zung ist eine spe­ziel­le Software nötig.
    Per­sön­liche Zerti­fikate sind "fort­ge­schrit­tene elek­tro­ni­sche Sig­na­turen"! Dienst­sie­gel dür­fen auch nicht ko­piert werden …
  • "Private-keys" von per­sön­li­chen Zer­ti­fikaten, die für digi­tale Unter­schrif­ten zu­ge­las­sen sind (Smart­Card Sign and Logon), wer­den nicht hinter­legt.
    Eine Unter­schrift soll ein­zig­ar­tig sein. Es soll kei­ne Fak­si­mi­le-Stem­pel, Si­cher­heits­ko­pien o.ä. geben.
  • "Private-keys" von per­sön­li­chen Zertifikaten, die zum Ver­schlüs­seln von Da­teien zu­ge­las­sen sind (Smart­Card Encrypt), unter­lie­gen einer Schlüs­sel­hin­ter­le­gung. Sie sind nicht für di­gi­tale Unter­schrif­ten ge­eignet.
    Wenn ein Ver­fahren den Namen Ver­schlüs­se­lung ver­dient, kommt man zwangs­läufig in Pro­bleme, wenn der Schlüs­sel ver­loren geht … Die Da­ten kön­nen je­doch noch mit eini­gem or­ga­ni­sa­to­ri­schen Auf­wand ge­ret­tet wer­den.
  • Server-Zerti­fikate können einen "alternate Name" ent­halten.

Import der Wurzelzertifikate

Nutzer mobiler Endgeräte können bei der Ver­wen­dung von Zer­ti­fi­ka­ten aus der DFN-PKI mit Feh­ler­mel­dungen be­züg­lich un­be­kann­ter und nicht ver­trauens­wür­diger Zer­tifi­kate kon­fron­tiert werden, wenn das Wurzel­zerti­fikat "Deutsche Tele­kom Root CA 2" dort nicht vorinstalliert ist.

Abhilfe schafft ein manu­eller Im­port dieses Wur­ze­lzer­ti­fikats; vgl. Punkt Zertifikatimport.

Betrieb der UniBwM-CA

Der Be­trieb der UniBwM CA er­folgt durch den DFN-Verein. Die UniBwM CA ist eine an den DFN-Verein aus­ge­la­ger­te Zer­ti­fi­zie­rungs­stel­le (CA) des DFN-An­wen­ders Uni­ver­si­tät der Bun­des­wehr Mün­chen in­ner­halb der DFN- PKI (Sicher­heits­niveau: Global). Das Re­chen­zent­rum der UniBwM be­treibt den zugehörigen Teilnehmerservice, wel­cher Zer­ti­fi­zie­rungs­an­träge ver­wal­tet, Zertifikate ausgibt so­wie Sper­ran­träge ent­ge­gen­nimmt.

Der Betrieb erfolgt gemäß den unter Policies aufgeführten Regeln.

Historie

Testphase_1 endet 23. Februar 2009

Der Be­trieb be­gann mit einer Test­phase, wäh­rend der (SSL-) Zer­ti­fi­kate nur einem be­grenz­ten RZ-in­ter­nen Nut­zer­kreis zur Ver­fü­gung ge­stellt wurden.

Mit Ende der Testphase ersetzte die zwischenzeitlich überholte Version v2.0 der "Erklärung zum Zerti­fizie­rungs­betrieb der UniBwM CA in der DFN-PKI" die veral­tete Version v1.1.

Testphase_2 endet im Mai 2009

Betrieb mit Nutzerzertifikaten beginnt. Am Anfang primär mit RZ-Mitgliedern, anschliessend Übergang zu Regelbetrieb.

 

Kontakt: pki@unibw.de