DFN-PKI (BU Weimar CA)

Die Bauhaus-Universität Weimar ist Teilnehmer an der DFN-PKI - der Public Key Infrastruktur im Deutschen Forschungsnetz.
Die Zertifizierungsstelle der Bauhaus-Universität Weimar (BU Weimar CA) wurde an den DFN-Verein ausgelagert, um die technischen Aufgaben einer Zertifizierungsstelle (Certification Authority: CA) von den organisatorischen Aufgaben einer Registrierungsstelle (RA) zu trennen. Die Registrierungsstelle wird vom SCC betrieben.

Zur Zeit wird die Ausstellung von SSL-Server-Zertifikaten (Sicherheitsniveau Global und Grid) angeboten.
Die Ausstellung von Nutzerzertifikaten ist nur in Einzelfällen möglich.

Anleitung zum Beantragen von Zertifikaten für Server

Vorgehensweise beim Beantragen von Grid-Zertifikaten (Nutzer und Server)

Seit 26.02.2007 wurde die Zertifizierungsstelle auf das Sicherheitsniveau Global umgestellt (Vorteile). Alle nach dem 26.02.2007 erstellten Zertifikate werden durch verbundene Systeme den Browser (Internet Explorer) und die Mail-Clients (Outlook, Outlook-Express, Windows Mail) der Firma Microsoft nutzen automatisch erkannt. Das jetzt genutzte Wurzelzertifikat der Deutsche Telekom Root CA 2 ist in das Betriebssystem Windows bereits implementiert. Eine Implementierung des Wurzelzertifikates der Deutsche Telekom Root CA 2 in den Webbrowser Firefox erfolgte mit der Version 3.5 und 3.0.12 Details zum Integrationsstand der Zertifikate der DFN-PKI Global in Betriebssysteme und Anwendungen erhalten Sie hier.

Damit die Server-Zertifikate durch verbundene Clients mit alternativen Browsern und Mail-Clients, wie Thunderbird oder Seamonkey erkannt werden und sie per https auf die entsprechenden Seiten zugreifen können, müssen Sie die folgenden Wurzel-Zertifikate in Ihren Browser importieren.

Nutzen Sie hierzu die Webschnittstelle unserer Registrierungsstelle. Das hier verwendete Wurzelzertifikat muss zumindest temporär akzeptiert werden, bis die Wurzelzertifikate importiert wurden.

Prüfen Sie vor dem Import des Wurzel-CA-Zertifikates, dass der jeweilige Fingerprint des Wurzel-CA-Zertifikates korrekt ist.

Klick auf CA-Zertifikate und dann jeweils auf den Namen der jeweiligen Wurzelzertfikate

Seamonkey: Klick auf Schaltfläche Ansicht - CA Zertifikat überprüfen, Fingerabdrücke/ SHA1-Fingerabdruck

Prüfen des Werte im Zertifikat auf Übereinstimmung mit dem jeweiligen unten angegebenem Wert:

Fingerprint Wurzelzertifikat Deutsche Telekom Root CA 2
SHA1 = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF

Fingerprint CA-Zertifikat DFN-PKI Sicherheitsniveau Global - G01
SHA1 = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45

Fingerprint CA-Zertifikat der Bauhaus-Universität Weimar - G02
SHA1 = 63:B2:BB:88:E2:8F:18:6F:28:8B:97:4E:07:57:76:A8:0F:38:CF:7B

Abschließend bei Firefox und Seamonkey auf "Schließen" klicken, beim Internet Explorer wieder auf die Registerkarte "Allgemein" des Zertifikates wechseln.

Import der Wurzelzertifikate

Seamonkey: Häckchen setzen bei:

• Dieser CA vertrauen, um Webseiten zu identifizieren.
• Dieser CA vertrauen, um E-Mails zu identifizieren.
• Dieser CA vertrauen, um Software-Entwickler zu identifizieren

und auf "OK" klicken

Für den Import in E-Mail-Clients wie Thunderbird können die Wurzel-Zertifikate mit Rechtsklick auf den Namen und "Ziel speichern" heruntergeladen werden, um sie dann importieren zu können. 
(Import: über Extras/ Einstellungen/ Erweitert/ Zertifikate/ Zertifikate.../ Zertifizierungsstellen/ Importieren und das Anwählen der gespeicherten Wurzelzertifikate und Abarbeiten der Dialoge.)

Auf der Webschnittstelle finden Sie auch die Zertifikatssperrliste, die sie in den Browser/ Mail-Client installieren sollten (Klick auf "Sperrliste installieren", damit ungültige Zertifikate nicht mehr akzeptiert werden. Hier können Sie auf weitere Informationen, wie die Zertifizierungsrichtlinien (Policies) zugreifen.

Die vor dem 26.02.2007 erstellten Zertifikate sind weiterhin gültig. Da hier keine automatische Integration in Browser und Mail-Clients gegeben ist, ist es erforderlich die Wurzelzertifikate der DFN-PKI und der BU Weimar CA des Sicherheitsniveaus Classic zu importieren. Link

Hinweis: Die Fingerprints dienen zum Abgleich des geladenen Zertifikates mit den Angaben des Ausstellers. Je nachdem, wem Sie bei der Überprüfung dieser Fingerprints vertrauen wollen, verlassen Sie sich auf die Angaben oben, sehen auf der Homepage des Ausstellers nach oder kontaktieren Sie den Aussteller direkt und erfragen den Fingerprint.

Fragen und Antworten zur DFN-PKI

Debian (und ähnliche, z.B. Ubuntu)

SLES10

Klaus Mebus

Servicezentrum für Computersysteme und -kommunikation
Steubenstraße 6a
D-99421 Weimar

E-Mail: pki(at)uni-weimar.de

Telefon: 0 36 43 / 58 24 25