Zur Webansicht Zur Webansicht
0/1 Rechenzentrum der Universität Regensburg
Home Uni  Pfeil  Rechenzentrum  Pfeil  
Deko-Banner
Zur Lese-/Druckansicht  


Frequently Used Links:
Hauptnavigation:

Richtlinien für die Beantragung und Nutzung von Serverzertifikaten in der DFN-PKI

Folgende Richtlinien sind bei der Beantragung und Nutzung von Serverzertifikaten der DFN-PKI zu beachten:

Für welche Server dürfen Zertifikate beantragt werden?

  1. Der Server muß an der Universität registriert sein und unter der zugeteilten IP Adresse und dem zugeteilten voll qualifizierten IP Namen betrieben werden. Ein Aliasname ist möglich.
  2. Bei Verwendung von Aliasnamen gilt: Serverzertifikate werden nur für die Domänen vergeben, deren Inhaber die Universität Regensburg ist.
  3. Der Server muß einer Einrichtung (Fakultät, Institut oder zentrale Einrichtung) der Universität zugeordnet sein. Der Name der Einrichtung muß im Antrag angegeben sein (Zertifikationsattribut OU). Eine Einverständniserklärung des PKI Verantwortlichen der Einrichtung muß beim Antrag in der Registrierungsstelle mit vorgelegt werden. Eine Liste der möglichen Einrichtungen und der zugehörigen PKI Verantwortlichen finden Sie hier.
  4. Falls sich der Standort des Servers nicht im Maschinensaal des Rechenzentrums der Universität Regensburg befindet, muß der physikalische Zugang zu diesem Server vor unberechtigtem Zugang abgesichert sein.Der Standort muss in einem zur Universität gehörigen Gebäude befinden.
  5. Der Verwendungszweck des Servers dient ausschließlich der Forschung, Lehre oder Ausbildung.
  6. Serverzertifikate können nur für nicht private Server ausgestellt werden. Server werden dabei als privat eingestuft, wenn sie persönliches Eigentum einer Privatperson sind.
  7. Serverzertifikate dürfen beim Wechsel des Verantwortlichen nicht übernommen werden, sondern sind zu widerrufen und neu zu beantragen.
  8. Bei Stilllegung des Servers ist das Zertifikat unverzüglich zu sperren.

Wer darf ein Serverzertifikat beantragen?

  1. Der Zertifikatnehmer muß Mitglied der Universität Regensburg sein.
  2. Der Zertifikatnehmer muß einen gültigen RZ Account besitzen.

Richtlinien für den Antrag und den Umgang mit den Zertifikaten

  1. Für die Ausstellung von Zertifikaten sind die folgenden Zertifizierungsrichtlinien maßgeblich: Zertifizierungsrichtlinie der DFN-PKI (Sicherheitsniveaus: Global) Version 2.1 und Erklärung zum Zertifizierungsbetrieb der Uni Regensburg CA in der DFN-PKI (Sicherheitsniveau: Global)
  2. Der Zertifikatnehmer muß vor dem Antrag einen privaten Schlüssel nach dem RSA Algorithmus mit einer Schlüssellänge von mindestens 2048 Bit erzeugen. Dieser Schlüssel ist geheim zu halten und vor Missbrauch zu schützen.
  3. Bei Verlust oder Verdacht der Kompromittierung des privaten Schlüssels muß das Zertifikat sofort widerrufen werden.
  4. Der Zertifikatnehmer muß bei der Zertifikatbeantragung versichern, dass er im Besitz des privaten Schlüssels ist. Dies geschieht, indem der öffentliche Schlüssel vom Zertifikatnehmer in einem mit dem zugehörigen privaten Schlüssel elektronisch signierten Zertifikatantrag an die Registrierungsstelle übermittelt wird. Die Registrierungsstelle muss die Gültigkeit der Signatur überprüfen.
  5. Der Zertifikatantrag ist per Webschnittstelle an die Registrierungsstelle zu übermitteln; zusätzlich muss der vom Zertifikatnehmer handschriftlich unterschriebene Zertifikatantrag sowie die unterschriebene Erklärung zur Zertifizierung eines Servers persönlich der Registrierungsstelle übergeben werden, die dann auch eine Identitätsprüfung des Zertifikatnehmers anhand des Personalausweises oder Reisepasses durchführt.

Sonstiges

  1. Die DFN-PKI stellt nur fortgeschrittene Zertifikate im Sinne des Deutschen Signaturgesetzes, also keine qualifizierten Zertifikate aus. Sie können somit die gesetzlich vorgeschriebene Schriftform nicht ersetzen, können aber dennoch gegebenenfalls im Zuge der freien Beweiswürdigung vor Gericht Beweiseignung erlangen.
  2. Die von der Uni Regensburg CA ausgestellten Zertifikate haben eine Gültigkeitsdauer von 2 Jahren. Eine Verlängerung ist zur Zeit nicht möglich. Nach Ablauf der Gültigkeitsdauer muß daher ein neues Zertifikat beantragt werden.
  3. Alle bei der Zertifizierung anfallenden Daten werden von der Registrierungsstelle vertraulich behandelt.

 

 

Letzte Änderung: 21.11.2017 von Dr. Ulrich Werling