PKI

X.509-Zertifikate der Universität aus der Hierarchie "DFN-PKI" -> "Deutsche Telekom Root CA 2" für Mailverschlüsselung, digitale Unterschriften, verzeichnisweite Dateiverschlüsselung und Server.

PKI

UniBwM CA - Zertifikate an der UniBwM

Die Universität der Bundes­wehr Mün­chen (UniBwM) ist Teil der Public-Key-Infra­struk­tur (PKI) des DFN-Vereins, kurz DFN-PKI. Uni­versi­täts­an­ge­hö­rige können im Rechen­zentrum per­sön­liche Zer­ti­fi­kate (für digi­tale Unter­schriften und, wenn ge­wünscht, zur Datei­ver­schlüs­se­lung) und Ser­ver­zer­ti­fi­kate (Stich­wort https) be­an­tragen.

Persönliche Zertifikaten der UniBwM CA

  • eTokenPro-USB-Stick"Private-keys" von persönlichen Zer­ti­fi­kate wer­den nur auf Krypto-Ge­rä­ten aus­ge­ge­ben. Da­mit soll ver­hin­dert wer­den, dass (ge­wollt oder un­ge­wollt) wei­te­re Ko­pien des "private-key" ent­ste­hen. Für ihre Nut­zung ist eine spe­ziel­le Software nötig.
    Per­sön­liche Zerti­fikate sind "fort­ge­schrit­tene elek­tro­ni­sche Sig­na­turen"! Dienst­sie­gel dür­fen auch nicht ko­piert werden …
  • "Private-keys" von per­sön­li­chen Zer­ti­fikaten, die für digi­tale Unter­schrif­ten zu­ge­las­sen sind (Smart­Card Sign and Logon), wer­den nicht hinter­legt.
    Eine Unter­schrift soll ein­zig­ar­tig sein. Es soll kei­ne Fak­si­mi­le-Stem­pel, Si­cher­heits­ko­pien o.ä. geben.
  • "Private-keys" von per­sön­li­chen Zertifikaten, die zum Ver­schlüs­seln von Da­teien zu­ge­las­sen sind (Smart­Card Encrypt), unter­lie­gen einer Schlüs­sel­hin­ter­le­gung. Sie sind nicht für di­gi­tale Unter­schrif­ten ge­eignet.
    Wenn ein Ver­fahren den Namen Ver­schlüs­se­lung ver­dient, kommt man zwangs­läufig in Pro­bleme, wenn der Schlüs­sel ver­loren geht … Die Da­ten kön­nen je­doch noch mit eini­gem or­ga­ni­sa­to­ri­schen Auf­wand ge­ret­tet wer­den.

Serverzertifikate der UniBwM CA

  • Server-Zerti­fikate können einen "alternate Name" ent­halten.
  • Der Namensraum ist auf die DNS-Domänen ".unibw.de" und ".unibw-muenchen.de" beschränkt.

Import der Wurzelzertifikate

Manchmal kommt es bei der Ver­wen­dung von Zer­ti­fi­ka­ten aus der DFN-PKI zu Feh­ler­mel­dungen be­züg­lich un­be­kann­ter und nicht ver­trauens­wür­diger Zer­tifi­kate. Abhilfe verspricht dann ein manu­eller Im­port des Wur­ze­lzer­ti­fikats "Deutsche Telekom Root CA2"; vgl. Punkt Zertifikatimport.

Betrieb der UniBwM-CA

Der Be­trieb der UniBwM CA er­folgt durch den DFN-Verein. Die UniBwM CA ist eine an den DFN-Verein aus­ge­la­ger­te Zer­ti­fi­zie­rungs­stel­le (CA) des DFN-An­wen­ders Uni­ver­si­tät der Bun­des­wehr Mün­chen in­ner­halb der DFN- PKI (Sicher­heits­niveau: Global). Das Re­chen­zent­rum der UniBwM be­treibt den zugehörigen Teilnehmerservice, wel­cher Zer­ti­fi­zie­rungs­an­träge ver­wal­tet, Zertifikate ausgibt so­wie Sper­ran­träge ent­ge­gen­nimmt.

Der Betrieb erfolgt gemäß den unter Policies aufgeführten Regeln.

 

 

Kontakt: pki@unibw.de