Sie befinden sich im Service: Public-Key-Zertifikate

Nutzungsszenario für die DFN-Verein Community PKI

Nutzungsszenario für die DFN-Verein Community PKI

Kurzinformation

DFN-Verein Community PKI stellt nicht im Browser/Betriebssystem verankerte Public-Key-Zertifikate aus.


Detailinformation

Zertifikate des Trusted Certificate Service von GÉANT unterliegen wie alle Zertifikaten mit Browser- und Betriebssystemverankerung den Regularien des CA/Browser Forum. Die hier geltenden Bestimmungen sind aber nicht optimal für alle Anwendungsszenarien und insb. diese, wo keine Benutzerinteraktion erfolgt.

Im Vergleich zu Zertifikaten mit Browser- und Betriebssystemverankerung können in der DFN-Verein Community PKI längere, vom CA/Browser Forum unabhängige Laufzeiten gewählt werden und auch eine Zertifikatsperrungen aufgrund externer Zwänge ist nicht mehr möglich.

Da das für die Validierung der Zertifikatskette benötigte Root-Zertifikat aber nicht im Browser/Betriebssystem vorinstalliert ist, muss das Wurzelzertifikat der DFN-Verein Community PKI auf jedem System, dass an der Kommunikation/Validierung teilnimmt explizit installiert werden.

Die aktuellen Default-Laufzeiten in der DFN-Verein Community PKI betragen:

  • 1170 Tage für Serverzertifikate
  • 1825 Tage für Nutzerzertifikate

Interessant sind diese Zertifikate insb. für:

  • Shibboleth IdP/SP Metadaten
  • Interne Systeme wie bspw. Datenbank bzw. wo die Risiken der öffentlichen PKI vermieden werden sollen
  • 802.1X für den Netzzugang
  • Active Directories

 

Der Prozess der Beantragung ist hier wie bei der DFN PKI Global

  • Zertifikat beantragen (entweder direkt via CSR (PKCS#10, Namensraum "C=DE,ST=Nordrhein-Westfalen,L=Aachen,O=RWTH Aachen") oder inkl. Generierung der RSA-Schlüssel im Browser mit anschließendem Export als JSON-Datei und Vergabe einer Sperr-PIN
  • Einreichung des Antrages (wird in Form eines PDF-Dokumentes bereitgestellt, was digital signiert werden und an die RWTH RA per E-Mail versendet werden muss, bitte schreiben Sie einen kurzen Hinweis, warum Ihr Antrag in der Community PKI richtig ist)
  • Empfang der E-Mail mit der URL für die Generierung einer Export-Datei (PKCS#12) unter Verwendung der erzeugten JSON-Datei sowie bereits dem erzeugten Zertifikat

 

Die Sperrung erfolgt analog zur DFN-PKI Global:

  • durch eigenhändiges Sperren unter Verwendung der zuvor vergebenen Sperr-PIN
  • signierte E-Mail an die RWTH-RA

 

Die DFN-PKI stellt folgende Dokumente bereit:

 


 Zusatzinformation

Webportal der DFN-Verein Community PKI

 

zuletzt geändert am 30.04.2024

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz