Public Key Infrastruktur

Zertifikate und deren Verwendung an der TH

Allgemeines

Das Hochschulrechenzentrum hat sich entschlossen, die Erstellung von Zertifikaten für verschlüsselte Webseiten, digitale Signaturen etc. an eine übergeordnete Zertifizierungsstelle, in unserem Fall dem DFN Verein, auszulagern. Das Stammzertifikat (Wurzelzertifikat) des DFN Vereins ist von der Deutsche Telekom Root CA 2 signiert, welches wiederum bereits im Internet Explorer und damit dem Windows Betriebssystem als vertrauenswürdige Stammzertifizierungsstelle bekannt ist.

Damit ist für Zertifikate, die von der Zertifizierungsstelle der TH Wildau über die ausglagerte CA ausgestellt werden, keine Anpassung für Windows, Internet-Explorer und Firefox notwendig.

Die Zertifizierungsstelle (CA Certificate Authority) und Registrierungsstelle (RA) befindet sich im Haus 13 Raumn 120. Verantwortlich ist Herr Steinert. Stellvertreterin ist Frau Neumann.

 

Umstellung des Prozesses für die Erstellung von Zertifikaten

Seit 2021 gibt es das Angebot des DFN Vereins PKI Dienste über die Trusted Certificate Services des GÉANT zu beziehen. (siehe dazu).

Wenn Sie Zertifikate über dieses Angebot beziehen, vereinfacht sich der Prozess um ein Zertifikat zu erhalten um einiges.
Der Zugang zum Portal für die Erstellung eines persönlichen oder Server Zertifikates erfolgt über die AAI der TH Wildau. In den Attributen, die für die Zertifizierungsstelle freigegeben sind, ist eine Berechtigung enthalten, die das Erstellen von Zertifikaten erlaubt. Diese Berechtigung ist ausschließlich für Studierende und Angestellte der TH Wildau erteilt.

Die folgende Dokumentation bezieht sich auf das neue Angebot. Die Dokumentation zur ausgelagerten Zertifizierungsstelle folgt im Anschluss an diese Dokumentaiton, solange dieser Dienst noch verfügbar ist.

Der GÉANT realisiert diesen Service durch einen Anbieter, der durch eine Ausschreibung ermittelt wird. Derzeit handelt es sich dabei um die Firma Sectigo. Die Regeln, die bei der Nutzung dieser Zertifikate einzuhalten sind, sind in der Zertifikats-Policy von Sectigo festgeschrieben.

Zertifizierungsrichtlinie

Die Zertifizierungsrichtlinie der TH Wildau lehnt sich an der Zertifizierungsrichtline der DFN-PKI an.  (Auf der verlinkten Seite ist diese in der aktuellen Version nachzulesen.)

Diese Richtlinie enthält alle Information über den Umgang mit den Zertifikaten und deren Schlüsseln, die Anforderungen an die Zertifizierungs- und Registrierungsstelle usw. Für die Nutzer der TH Wildau sind sollen hier wichtigsten Dinge herausgestellt werden. Über die Zertifizierungsstelle der TH Wildau können Zertifikate für Server und Personen beantragt und ausgestellt werden. Diese werden nicht anonym vergeben. Das heißt beantragt werden die Zertifikate von Mitarbeitern und Studenten der TH Wildau. Siginiert werden Anträge erst nach Prüfung durch die RA (Registrierungstelle (13-120 oder 13-114)).

Im Fall der Zertifikate in der DFN PKI werden diese erst ausgestellt, nachdem die RA die Identität des Antragtellers überprüft hat. Am einfachsten geht das, wenn die antragstellende Person in einem der angegebenen Räume mit einem amtlichen Ausweisdokument (DPA oder Reisepass) vorstellig wird.
Im Fall der Zertifikate des GÉANT wird überprüft, ob die beantragende Person berechtigt ist ein Serverzertifikat zu erhalten und genehmigt es dann. Eine Idenditätsrüfung ist dabei nicht erforderlich.

Der Verlust oder die Kompromittierung von Schlüsseln ist der RA unverzüglich anzuzeigen, damit das entsprechende Zertifikat zurückgezogen werden kann.