Auf dieser Seite finden Sie Informationen zu den Public-Key-Zertifikaten der DFN-Verein Community PKI.

Die DFN-Verein Community PKI ist eine private PKI des DFN Vereins. Sie stellt keine im Browser/Betriebssystem verankerte Public-Key-Zertifikate aus.

Zertifikate des Trusted Certificate Service von GÉANT unterliegen wie alle Zertifikaten mit Browser- und Betriebssystemverankerung den Regularien des CA/Browser Forum. Die hier geltenden Bestimmungen sind aber nicht optimal für alle Anwendungsszenarien und insb. diese, wo keine Benutzerinteraktion erfolgt.

Im Vergleich zu Zertifikaten mit Browser- und Betriebssystemverankerung können in der DFN-Verein Community PKI längere, vom CA/Browser Forum unabhängige, Laufzeiten gewählt werden und auch eine Zertifikatsperrungen aufgrund externer Zwänge ist nicht mehr notwendig.

Da das für die Validierung der Zertifikatskette benötigte Root-Zertifikat aber nicht im Browser/Betriebssystem vorinstalliert ist, muss das Wurzelzertifikat der DFN-Verein Community PKI auf jedem System, dass an der Kommunikation/Validierung teilnimmt explizit installiert werden.

Die aktuellen Default-Laufzeiten in der DFN-Verein Community PKI betragen:

• 1170 Tage für Serverzertifikate (ca 3 Jahre, 2 Monate und 15 Tage)
• 1825 Tage für Nutzerzertifikate (5 Jahre)

Interessant sind diese Zertifikate insb. für:

• Shibboleth IdP/SP Metadaten
• Interne Systeme wie bspw. Datenbank bzw. wo die Risiken der öffentlichen PKI vermieden werden sollen
• 802.1X für den Netzzugang
• Active Directories

Der Prozess der Beantragung von Serverzertifikaten ist:

• Zertifikatsantrag erzeugen und über das RA-Portal an die DFN-Verein Community PKI absenden.
• Alles weitere (Abholung, Sperrung, usw) über das RA-Portal erledigen.
• Der Namensraum für die DFN-Verein Community PKI ist "C=DE,ST=Nordrhein-Westfalen,L=Aachen,O=RWTH Aachen"
• Im RA-Portal muss einer der drei unterschiedlichen Zertifikatsprofile (X509v3 Extended Key Usage) für Serverzertifikate ausgewählt werden
  • serverAuth (Web Server)
  • serverAuth, clientAuth (Shibboleth IdP SP)
  • serverAuth, clientAuth, KDC Authentication, smartcardLogon (Domain Controller)
• Alle noch gültige DFN-Verein Community PKI Serverzertifikate können über das RA-Portal verwaltet (sperren, herunterladen) werden.
• Nicht im RA-Portal beantragte Serverzertifikate können nicht erneuert werden, da die Antragsdatei dem Portal nicht vorliegt. 
• Nicht im RA-Portal beantragte Serverzertifikate mit Zertifikatsprofilen VoIP, LDAP oder Radius wurden im RA-Portal dem Profil "Schibboleth IdP SP" zugewiesen.
• Die Beantragung und Verwaltung ist auch über die API möglich, siehe inline Dokumentation.

Alle weitere Zertifikate (z.B. Code Signing) der DFN-Verein Community PKI müssen weiterhin über das Webportal der DFN-Verein Community PKI beantragt werden. Wenden Sie sich an ra@rwth-aachen.de für weitere Informationen zur Abgabe Ihres Zertifikatsantrages an die RWTH Registirerungsstelle.

Die DFN-PKI stellt folgende Dokumente bereit:

• Beschreibung der Zertifikatsprofile
• Erklärung zum Zertifizierungsbetrieb der DFN-Verein Community PKI

Weitere Informationen:

• Webportal der DFN-Verein Community PKI