Nutzungsszenario für die DFN-Verein Community PKI
DFN-Verein Community PKI stellt nicht im Browser/Betriebssystem verankerte Public-Key-Zertifikate aus.
Zertifikate des Trusted Certificate Service von GÉANT unterliegen wie alle Zertifikaten mit Browser- und Betriebssystemverankerung den Regularien des CA/Browser Forum. Die hier geltenden Bestimmungen sind aber nicht optimal für alle Anwendungsszenarien und insb. diese, wo keine Benutzerinteraktion erfolgt.
Im Vergleich zu Zertifikaten mit Browser- und Betriebssystemverankerung können in der DFN-Verein Community PKI längere, vom CA/Browser Forum unabhängige Laufzeiten gewählt werden und auch eine Zertifikatsperrungen aufgrund externer Zwänge ist nicht mehr möglich.
Da das für die Validierung der Zertifikatskette benötigte Root-Zertifikat aber nicht im Browser/Betriebssystem vorinstalliert ist, muss das Wurzelzertifikat der DFN-Verein Community PKI auf jedem System, dass an der Kommunikation/Validierung teilnimmt explizit installiert werden.
Die aktuellen Default-Laufzeiten in der DFN-Verein Community PKI betragen:
- 1170 Tage für Serverzertifikate
- 1825 Tage für Nutzerzertifikate
Interessant sind diese Zertifikate insb. für:
- Shibboleth IdP/SP Metadaten
- Interne Systeme wie bspw. Datenbank bzw. wo die Risiken der öffentlichen PKI vermieden werden sollen
- 802.1X für den Netzzugang
- Active Directories
Der Prozess der Beantragung ist hier wie bei der DFN PKI Global
- Zertifikat beantragen (entweder direkt via CSR (PKCS#10, Namensraum "C=DE,ST=Nordrhein-Westfalen,L=Aachen,O=RWTH Aachen") oder inkl. Generierung der RSA-Schlüssel im Browser mit anschließendem Export als JSON-Datei und Vergabe einer Sperr-PIN
- Einreichung des Antrages (wird in Form eines PDF-Dokumentes bereitgestellt, was digital signiert werden und an die RWTH RA per E-Mail versendet werden muss, bitte schreiben Sie einen kurzen Hinweis, warum Ihr Antrag in der Community PKI richtig ist)
- Empfang der E-Mail mit der URL für die Generierung einer Export-Datei (PKCS#12) unter Verwendung der erzeugten JSON-Datei sowie bereits dem erzeugten Zertifikat
Die Sperrung erfolgt analog zur DFN-PKI Global:
- durch eigenhändiges Sperren unter Verwendung der zuvor vergebenen Sperr-PIN
- signierte E-Mail an die RWTH-RA
Die DFN-PKI stellt folgende Dokumente bereit:
- Beschreibung der Zertifikatsprofile
- Erklärung zum Zertifizierungsbetrieb der DFN-Verein Community PKI
Webportal der DFN-Verein Community PKI