zur Startseite
Sie befinden sich im Service Public-Key-Zertifikate
Allgemeine Infos
Verwendungsmöglichkeiten für Public-Key-Zertifikate
IT Center Help

Sie befinden sich im Service: Public-Key-Zertifikate

Nutzungsszenario für die DFN-Verein Community PKI
Seite ausdrucken

Nutzungsszenario für die DFN-Verein Community PKI

Kurzinformation

DFN-Verein Community PKI stellt nicht im Browser/Betriebsystem verankerte Public-Key-Zertifikate aus.

Detailinformation

Zertifikate des Trusted Certificate Service von GÉANT unterliegen wie alle Zertifikaten mit Browser- und Betriebssystemverankerung den Regularien des CA/Browser Forum (https://cabforum.org/). Die hier geltenden Bestimmungen sind aber nicht optimal für alle Anwendungsszenarien und insb. diese, wo keine Benuzterinteraktion erfolgt.

Im Vergleich zu Zertifikaten mit Browser- und Betriebssystemverankerung können in der DFN-Verein Community PKI längere, vom CA/Browser Forum unabhängige Laufzeiten gewählt werden und auch eine Zertifikatsperrungen aufgrund externer Zwänge ist nicht mehr möglich.

Da das für die Validierung der Zertifikatskette benötigte Root-Zertifikat aber nicht im Browser/Betriebsystem vorinstalliert ist, muss das Wurzelzertifikat (https://doku.tid.dfn.de/de:dfnpki:dfnpki_root_certs#dfn-verein_community_pki) der DFN-Verein Community PKI auf jedem System, dass an der Kommunikation/Validierung teilnimmt explizit installiert werden.

 

Die aktuellen default Laufzeiten in der DFN-Verein Community PKI betragen:

  • 1170 Tage für Serverzertifikate
  • 1825 Tage für Nutzerzertifikate

 

Interesant sind diese Zertifikate insb. für:

  • Shibboleth IdP/SP Metadaten (https://doku.tid.dfn.de/de:certificates#eigene_lokale_ca)
  • interne Systeme wie bspw. Datenbank bzw. wo die Risiken der öffentlichen PKI vermieden werden sollen
  • 802.1X für den Netzzugang
  • Active Directories

 

Der Prozess der Beantragung ist hier wie bei der DFN PKI Global

  • Zertifikat beantragen (entweder direkt via CSR (PKCS#10, bitte beachten der Namensraum ist "C=DE,ST=Nordrhein-Westfalen,L=Aachen,O=RWTH Aachen") oder
  • inkl. Generierung der RSA-Schlüssel im Browser mit anschließendem Export als JSON-Datei
  • und Vergabe eines Sperr-PIN
  • Einreichung des Antrages (wird in Form eines PDF-Dokumentes bereitgestellt, was digital signiert werden und an die RWTH RA per E-Mail versendet werden muss, bitte schreiben Sie einen kurzen Hinweis warum Ihr Antrag in der Community PKI richtig ist)
  • Empfang der E-Mail mit der URL für die Generierung einer Export-Datei (PKCS#12) unter Verwendung der Erzeugten JSON-Datei sowie bereits dem erzeugten Zertifikat

 

Die Sperreung erfolg analog zur DFN-PKI Global:

  • durch eigenhändisches Sperren unter Verwendung des zuvor vergebenen Sperr-PIN
  • signierte E-Mail an die RWTH-RA

 

Die DFN-PKI stellt folgende Dokumente bereit:

  • Beschreibung der Zertifikatsprofile (https://www.pki.dfn.de/fileadmin/PKI/anleitungen/DFN-PKI-Zertifikatprofile_Global.pdf)
  • Erklärung zum Zertifizierungsbetrieb der DFN-Verein Community PKI (https://www.pki.dfn.de/fileadmin/PKI/DFN-Verein_Community_PKI_CPS.pdf)

 

 Zusatzinformation

Link zur dem Webportal der DFN-Verein Community PKI: https://pki.pca.dfn.de/dfn-pki/dfn-verein-community-ca/3550/

 

zuletzt geändert am 24.04.2024

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Chat