Inhaltsverzeichnis

Robot Zertifikate

Robot Zertifikate sind in der DFN-PKI Grid Zertifikate für Client-Software, die zur Automatisierung von Aufgaben im Grid (Monitoring, Grid Portale etc.) genutzt wird und für die keine „normalen“ Nutzerzertifikate eingesetzt werden dürfen.

Der Vorteil von Robot Zertifikaten ist, dass sie zum einen für automatisierte Prozesse (ohne Interaktion mit dem Zertifikatnehmer) genutzt werden können und zum anderen nicht an eine bestimmte Person gebunden sein müssen, sondern auch von einer Personengruppe (z.B. Ressource-Administratoren) genutzt werden können.

Welche Besonderheiten gibt es bei Robot Zertifikaten?

Für Robot Zertifikate sind einige Besonderheiten zu beachten:

Zertifikatnehmer

Zertifikatnehmer eines Robot Zertifikats ist entweder

Schlüsselerzeugung, -speicherung und -transport

(Bestimmungen aus DFN-PKI Grid CPS 6.1.1, CP 4.5.1)

Zertifikatname

Das CN-Attribut im Zertifikatnamen von Robot Zertifikaten muss mit dem Schlüsselwort „Robot“ direkt gefolgt von einem Doppelpunkt oder Minuszeichen und einem Leerzeichen beginnen. Darauf folgen eine verständliche, bedeutungsvolle Beschreibung des automatisierten Clients, der Name des Zertifikatnehmers (s. Begrifferklärung Zertifikatnehmer) und deren (Gruppen-)E-Mail-Adresse. Die im Robot Zertifikat enthaltenen E-Mail-Adressen müssen dem Zertifikatnehmer gehören. Die Gesamtlänge des CN darf 64 Zeichen nicht überschreiten.

Beispiele für das CN-Attribut: Zertifikatnehmer ist eine Einzelperson:

CN=Robot- Job Upload Robot - Martin Mustermann

Zertifikatnehmer ist eine Gruppe:

CN=Robot: Sample Grid Portal - HRZ Portal Ops - portal-ops@dfn.de

oder

CN=Robot: Job Performance Mon - Monitoring Group - grid-ops@dfn.de

oder

CN=Robot- Job Performance Mon - Monitoring Group - grid-ops@dfn.de

Unbedingt beachten: Zwischen Robot und dem folgenden „:“ bzw „-“ darf kein Leerzeichen sein.

(Bestimmungen aus DFN-PKI Grid CPS 3.1.2c)

Alternativer Zertifikatname

Robot Zertifikate müssen immer mindestens einen alternativen Zertifikatnamen (SubjectAlternativeName, SaN) vom Typ „email“ beinhalten, in dem eine E-Mail-Adresse des Zertifikatnehmers aufgeführt wird. Wenn das CN-Attribut bereits eine E-Mail-Adresse enthält, sollte genau diese als E-Mail-Adresse im SaN übernommen werden. In der DFN-PKI kann der SaN vom Typ email erzeugt werden, indem im PKCS#10-Zertifikatrequest (CSR) beim Zertifikatnamen (subjectDN) das Attribut „emailAddress“ entsprechend angegeben wird.

(Bestimmungen aus DFN-PKI Grid CPS 7.1.2)

Zertifikatnutzung und Betrieb

(Bestimmungen aus DFN-PKI Grid CP 4.5.1 und DFN-PKI Grid CPS 7.1.2)

Muss für Robot Zertifikate ein spezielles Profil gewählt werden?

Für Robot Zertifikate muss vom Zertifikatnehmer bzw. von der RA das Zertifikatprofil „Robot“ ausgewählt werden.