Zertifikate für DFN-Dienste

Für die verschiedenen Dienste im DFN werden teilweise Zertifikate benötigt. Fachliche Anforderungen bedingen, dass je nach Dienst unterschiedliche PKIs zum Einsatz kommen können.

Ein Überblick über die verwendeten Serverzertifikate für die Absicherung von VoIP im DFNFernsprechen finden Sie unter https://www2.dfn.de/dienstleistungen/dfnfernsprechen/voip/verschluesselung

Die SBCs des DFNFernsprechen-Dienstleisters akzeptieren sowohl Zertifikate aus der DFN-PKI Global als auch Zertifikate aus der DFN-Verein Community PKI.

GÉANT TCS Zertifikate sind nicht für die Verschlüsselung von VoIP-Anschlüssen im Rahmen von DFNFernsprechen nutzbar.

In eduroam gibt es in jeder Einrichtung zwei verschiedene Einsatzszenarien für Serverzertifikate:

1. Für den RADIUS-Server, gegen den sich die User authentifizieren

2. Für den radsecproxy, der die Kommunikation zur eduroam-Föderation übernimmt

Für 1. ist es die eigene Entscheidung jeder Einrichtung, welche PKIs eingesetzt werden. Denkbar sind öffentlich vertraute PKIs wie GÉANT TCS, eigene interne PKIs, DFN-Verein Community PKI o.ä. . Die eingesetzte PKI muss in der Regel auf den Endgeräten Ihrer Nutzenden konfiguriert werden, so dass ein Wechsel gegebenenfalls große Auswirkungen hat. Öffentlich vertraute PKIs machen erfahrungsgemäß am wenigsten Schwierigkeiten auf den Endgeräten der Nutzenden.

Für 2. können ausschließlich Zertifikate aus der speziellen eduroam CA zum Einsatz kommen. Die radsecproxy müssen mit Zertifikate aus der eduroam CA ausgestattet werden.

Informationen zur eduroam CA und den Antragswegen finden Sie unter https://doku.tid.dfn.de/de:eduroam:eduroam-ca#wie_wird_ein_eduroam_ca_zertifikat_beantrag

GÉANT TCS Zertifikate sind nicht für das Einsatzszenario 2. radsecproy nutzbar.

In der DFN-AAI gibt es zwei verschiedene Einsatzszenarien für Serverzertifikate:

1. Für die Webserver, mit denen User mit ihren Browsern kommunizieren

2. Für die SAML-basierte Kommunikation zwischen Identity Provider und Service Provider

Für 1. kann jede Einrichtung entscheiden, welche PKIs eingesetzt werden. Standard-Webserver-Zertifikate z.B. aus GÉANT TCS sind gut nutzbar.

Für 2. beachten Sie bitte die folgende Dokumentation, die die verschiedenen Optionen erläutert: https://doku.tid.dfn.de/de:certificates

Standard-Zertifikate aus öffentlich vertrauten PKIs wie GÉANT TCS, Let's Encrypt o.ä. sind für das Einsatzszenario 2. zwar technisch nutzbar, aufgrund der geringen Laufzeiten und dem Aufwand beim Zertifikatwechsel aber nicht zu empfehlen.

Für die Anmeldung am Teilnehmerportal und dem DFN.Security-Portal werden Client-Zertifikate benötigt.

Es werden Zertifikate aus der DFN-Verein Community PKI verwendet.

Ein Zugriff ist auch mit Client-Zertifikaten aus GÉANT TCS möglich, allerdings nicht empfohlen (Begründung). Dokumentation finden Sie unter https://doku.tid.dfn.de/de:dfnpki:tcsfaq#wie_erhalten_einrichtungen_einen_zugang und https://doku.tid.dfn.de/de:dfnpki:tcsfaq:ersteschritte