PKI

Die "UniBwM CA" erstellt X.509-Zertifikate der Universität in der Hierarchie "DFN-PKI" -> "Deutsche Telekom Root CA 2" für Mailverschlüsselung, digitale Unterschriften, Dateiverschlüsselung und Server mit TLS.

PKI - Public-Key-Infrastruktur

UniBwM CA - Zertifikate an der UniBwM

Uni­versi­täts­an­ge­hö­rige können im Rechen­zentrum per­sön­liche Zer­ti­fi­kate (für Mail­verschlüs­selung, digi­tale Unter­schriften und, wenn er­for­der­lich, zur Datei­ver­schlüs­se­lung) sowie Ser­ver­zer­ti­fi­kate (Stich­wort https) be­an­tragen. Dazu ist die Universität der Bundes­wehr Mün­chen (UniBwM) Teil der Public-Key-Infra­struk­tur des ►DFN-Vereins, kurz ►DFN-PKI.

 

Persönliche Zertifikaten der UniBwM CA

  • eTokenPro-USB-Stick"Private-keys" von persönlichen Zer­ti­fi­kate wer­den nur auf Krypto-Ge­rä­ten aus­ge­ge­ben. Da­mit soll ver­hin­dert wer­den, dass (ge­wollt oder un­ge­wollt) wei­te­re Ko­pien des "private-key" ent­ste­hen. Für ihre Nut­zung ist eine spe­ziel­le ►Software nötig.
    Per­sön­liche Zerti­fikate sind "fort­ge­schrit­tene elek­tro­ni­sche Sig­na­turen"! Dienst­sie­gel dür­fen auch nicht ko­piert werden …
  • "Private-keys" von per­sön­li­chen Zer­ti­fikaten, die für digi­tale Unter­schrif­ten zu­ge­las­sen sind (Smart­Card Sign and Logon), wer­den nicht hinter­legt.
    Eine Unter­schrift soll ein­zig­ar­tig sein. Es soll kei­ne Fak­si­mi­le-Stem­pel, Si­cher­heits­ko­pien o.ä. geben.
  • "Private-keys" von per­sön­li­chen Zertifikaten, die zum Ver­schlüs­seln von Da­teien zu­ge­las­sen sind (Smart­Card Encrypt), unter­lie­gen einer Schlüs­sel­hin­ter­le­gung. Sie sind nicht für di­gi­tale Unter­schrif­ten ge­eignet.
    Wenn ein Ver­fahren den Namen Ver­schlüs­se­lung ver­dient, kommt man zwangs­läufig in Pro­bleme, wenn der Schlüs­sel ver­loren geht … Die Da­ten kön­nen je­doch noch mit eini­gem or­ga­ni­sa­to­ri­schen Auf­wand ge­ret­tet werden.

 

Serverzertifikate der UniBwM CA

  • Der Namensraum ist auf die DNS-Domänen ".unibw.de" und ".unibw-muenchen.de" beschränkt.
  • Server-Zerti­fikate können einen "alternate Name" ent­halten.

Weitere Voraussetzungen

  • Von außerhalb der Universität erreich­bare Server müssen im aktuellen Rechner­betriebs­konzept (siehe ►IKIS) enthalten sein.
  • Die Server müssen vom Rechen­zentrum jederzeit sicher­heits­technisch untersucht werden können; in der Regel durch automatische IT-Security-Scans.
  • Konfigurations­hinweise für Webserver finden sich in den ►FAQ.

 

Import der Wurzelzertifikate

Manchmal kommt es bei der Ver­wen­dung von Zer­ti­fi­ka­ten aus der DFN-PKI zu Feh­ler­mel­dungen be­züg­lich un­be­kann­ter und nicht ver­trauens­wür­diger Zer­tifi­kate. Abhilfe verspricht dann ein manu­eller Im­port des Wur­ze­lzer­ti­fikats; vgl. Punkt ►Zertifikatimport.

 

Betrieb der UniBwM-CA

Die Zertifikate werden von der UniBwM CA erzeugt. Der Be­trieb der UniBwM CA er­folgt durch den ►DFN-Verein. Die UniBwM CA ist eine an den DFN-Verein aus­ge­la­ger­te Zer­ti­fi­zie­rungs­stel­le (CA) des DFN-An­wen­ders Uni­ver­si­tät der Bun­des­wehr Mün­chen in­ner­halb der DFN- PKI (Sicher­heits­niveau: Global). Das Re­chen­zent­rum der UniBwM be­treibt den zugehörigen Teilnehmerservice, wel­cher Zer­ti­fi­zie­rungs­an­träge ver­wal­tet, Zertifikate ausgibt so­wie Sper­ran­träge ent­ge­gen­nimmt.

Der Betrieb erfolgt gemäß den unter ►Policies aufgeführten Regeln.

 

 

Kontakt: pki@unibw.de


[►nach oben ]