Zu Hauptinhalt springen
Gewählte Sprache ist Deutsch Select language
Startseite UR

Richtlinien rund um die DFN-PKI

Zertifizierungsrichtlinien der DFN-PKI und der DFN-Verein Global Issuing CA

Zertifizierungsrichtlinien und Regelungen für Serverzertifkate innerhalb der DFN-PKI

Zertifizierungsrichtlinien und Regelungen für Gridzertifkate innerhalb der DFN-PKI


Zertifizierungsrichtlinien der DFN-PKI und der DFN-Verein Global Issuing CA


Richtlinien für die Beantragung und Nutzung von Serverzertifikaten in der DFN-PKI

Folgende Richtlinien sind bei der Beantragung und Nutzung von Serverzertifikaten der DFN-PKI zu beachten:

Für welche Server dürfen Zertifikate beantragt werden?

  1. Der Server muss an der Universität registriert sein und unter der zugeteilten IP Adresse und dem zugeteilten voll qualifizierten IP Namen betrieben werden. Ein Aliasname ist möglich.
  2. Bei Verwendung von Aliasnamen gilt: Serverzertifikate werden nur für die Domänen vergeben, deren Inhaber die Universität Regensburg ist.
  3. Der Server muss einer Einrichtung (Fakultät, Institut oder zentrale Einrichtung) der Universität zugeordnet sein. Der Name der Einrichtung muss im Antrag angegeben sein (Zertifikationsattribut OU). Eine Einverständniserklärung des PKI Verantwortlichen der Einrichtung muss beim Antrag in der Registrierungsstelle mit vorgelegt werden. Eine Liste der möglichen Einrichtungen und der zugehörigen PKI Verantwortlichen finden Sie hier.
  4. Falls sich der Standort des Servers nicht im Maschinensaal des Rechenzentrums der Universität Regensburg befindet, muss der physikalische Zugang zu diesem Server vor unberechtigtem Zugang abgesichert sein. Der Standort muss in einem zur Universität gehörigen Gebäude befinden.
    Der Zertifikatnehmer versichert, dass der physikalische Zugang (Konsole, USB-Ports, etc.) zu dem jeweiligen Server vor unberechtigtem Zugang abgesichert ist.
    Der Zertifikatnehmer stimmt einer angekündigten Kontrolle der Absicherung des Zugangs duch das Rechenzentrum zu.
  5. Der Verwendungszweck des Servers dient ausschließlich der Forschung, Lehre oder Ausbildung.
  6. Serverzertifikate können nur für nicht private Server ausgestellt werden. Server werden dabei als privat eingestuft, wenn sie persönliches Eigentum einer Privatperson sind.
  7. Serverzertifikate dürfen beim Wechsel des Verantwortlichen nicht übernommen werden, sondern sind zu widerrufen und neu zu beantragen.
  8. Bei Stilllegung des Servers ist das Zertifikat unverzüglich zu sperren.

Wer darf ein Serverzertifikat beantragen?

  1. Der Zertifikatnehmer muss Mitglied der Universität Regensburg sein.
  2. Der Zertifikatnehmer muss einen gültigen RZ Account besitzen.

Richtlinien für den Antrag und den Umgang mit den Serverzertifikaten

  1. Für die Ausstellung von Zertifikaten ist die folgende Zertifizierungsrichtlinie maßgeblich:  Zertifizierungsrichtlinie der DFN-PKI (Sicherheitsniveau: Global).
  2. Der Zertifikatnehmer muss vor dem Antrag einen privaten Schlüssel nach dem RSA Algorithmus mit einer Schlüssellänge von mindestens 2048 Bit erzeugen. Dieser Schlüssel ist geheim zu halten und vor Missbrauch zu schützen.
  3. Bei Verlust oder Verdacht der Kompromittierung des privaten Schlüssels muss das Zertifikat sofort widerrufen werden.
  4. Der Zertifikatnehmer muss bei der Zertifikatbeantragung versichern, dass er im Besitz des privaten Schlüssels ist. Dies geschieht, indem der öffentliche Schlüssel vom Zertifikatnehmer in einem mit dem zugehörigen privaten Schlüssel elektronisch signierten Zertifikatantrag an die Registrierungsstelle übermittelt wird. Die Registrierungsstelle muss die Gültigkeit der Signatur überprüfen.
  5. Der Zertifikatantrag ist per Webschnittstelle an die Registrierungsstelle zu übermitteln; zusätzlich muss der vom Zertifikatnehmer handschriftlich unterschriebene Zertifikatantrag sowie die unterschriebene Erklärung zur Zertifizierung eines Servers persönlich der Registrierungsstelle übergeben werden, die dann auch eine Identitätsprüfung des Zertifikatnehmers anhand des Personalausweises oder Reisepasses durchführt.

Sonstiges

  1. Die DFN-PKI stellt nur fortgeschrittene Zertifikate im Sinne des Deutschen Signaturgesetzes, also keine qualifizierten Zertifikate. Sie können somit die gesetzlich vorgeschriebene Schriftform nicht ersetzen, können aber dennoch gegebenenfalls im Zuge der freien Beweiswürdigung vor Gericht Beweiseignung erlangen.
  2. Die von der DFN-Verein Global Issuing CA bzw. der Uni Regensburg CA ausgestellten Zertifikate haben eine Gültigkeitsdauer von 825 Tagen. Eine Verlängerung ist zur Zeit nicht möglich. Nach Ablauf der Gültigkeitsdauer muss daher ein neues Zertifikat beantragt werden.
  3. Alle bei der Zertifizierung anfallenden Daten werden von der Registrierungsstelle vertraulich behandelt.

Richtlinien für die Beantragung von Gridzertifikaten in der DFN PKI

Wer darf ein Gridzertifikat beantragen?

  1. Der Zertifikatnehmer muss Mitglied der Universität Regensburg sein.

  2. Der Zertifikatnehmer muss einen gültigen RZ Account besitzen.

  3. Der Zertifikatnehmer muss berechtigt sein, ein Gridzertifikat zu beantragen.

Richtlinien für den Antrag und den Umgang mit den Gridzertifikaten

  1. Für die Ausstellung von Zertifikaten sind die folgenden Zertifizierungsrichtlinien maßgeblich: Zertifizierungsrichtline der DFN-PKI (Sicherheitsniveau: Grid) Version 1.6, Januar 2012 (PDF) und
    Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI (Sicherheitsniveau: Grid) Version 1.6, Januar 2012 (PDF).
    Das Einverständnis mit diesen Zertifizierungsrichtlinien ist vom Zertifikatnehmer im Zertifikatantrag zu bestätigen.

  2. Der Zertifikatnehmer muss vor dem Antrag einen privaten Schlüssel nach dem RSA Algorithmus mit einer Schlüssellänge von mindestens 2048 Bit erzeugen. Bei Verwendung der Webschnittstelle der DFN-PKI ist dies automatisch der Fall.

  3. Der private Schlüssel ist geheim zu halten und vor Missbrauch zu schützen. Bei Verlust oder Verdacht der Kompromittierung des privaten Schlüssels muss das Zertifikat sofort widerrufen werden.

  4. Der Zertifikatantrag ist per Webschnittstelle an die Registrierungsstelle zu übermitteln; zusätzlich muss der vom Zertifikatnehmer handschriftlich unterschriebene Zertifikatantrag persönlich der Registrierungsstelle übergeben werden, die dann auch eine Identitätsprüfung des Zertifikatnehmers anhand des Personalausweises oder Reisepasses hinsichtlich Unterschrift, Lichtbild, Gültigkeit und Ausweisnummer durchführt. Bitte beachten Sie, dass eine Identitätsprüfung bei der Grid-RA im Rechenzentrum nur nach einer vorherigen Terminabsprache möglich ist.

Sonstiges

  1. Die von der DFN Grid-CA ausgestellten Zertifikate haben eine Gültigkeitsdauer von 1 Jahr und 1 Monat. Eine Verlängerung ist zur Zeit nicht möglich. Nach Ablauf der Gültigkeitsdauer muss daher ein neues Zertifikat beantragt werden.

  2. Alle bei der Zertifizierung anfallenden Daten werden von der Registrierungsstelle vertraulich behandelt.
  1. Universität

Rechenzentrum

DFN-PKI
Registrierungsstelle
Aus dem RZ Banner von Franz Stadler

Telefon +49 941 943 4877
Fax +49 941 943 4857
Raum RZ EG 0.04
E-Mail: gerhard.schwarz@rz.uni-regensburg.de