Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:dfndienste [2024/01/12 17:27] – angelegt Juergen Brauckmannde:dfnpki:dfndienste [2025/02/21 08:52] (aktuell) – [Teilnehmerportal und DFN.Security Portal] Juergen Brauckmann
Zeile 1: Zeile 1:
-====Zertifikate für DFN-Dienste====+======Zertifikate für DFN-Dienste======
  
 Für die verschiedenen Dienste im DFN werden teilweise Zertifikate benötigt. Fachliche Anforderungen bedingen, dass je nach Dienst unterschiedliche PKIs zum Einsatz kommen können. Für die verschiedenen Dienste im DFN werden teilweise Zertifikate benötigt. Fachliche Anforderungen bedingen, dass je nach Dienst unterschiedliche PKIs zum Einsatz kommen können.
  
-===Zertifikate für DFNFernsprechen===+====DFNFernsprechen====
  
-Ein Überblick über die verwendeten Serverzertifikate für die Absicherung von VoIP im [[https://www.dfn.de/dienste/collaboration-services/dfnfernsprechen/|DFNFernsprechen]] finden Sie unter [[https://www2.dfn.de/dienstleistungen/dfnfernsprechen/voip/verschluesselung]]+Ein Überblick über die verwendeten Serverzertifikate für die Absicherung von VoIP im [[https://www.dfn.de/dienste/collaboration-services/dfnfernsprechen/|DFNFernsprechen]] finden Sie unter [[https://www.dfn.de/wp-content/uploads/2023/04/DFNFernsprechen_Verschluesselung_Stand_Dezember_2022.pdf]]
  
-Die SBCs des DFNFernsprechen-Dienstleisters akzeptieren sowohl Zertifikate aus der DFN-PKI Global als auch Zertifikate aus der DFN-Verein Community PKI.+Die SBCs des DFNFernsprechen-Dienstleisters akzeptieren ausschließlich Zertifikate aus der DFN-Verein Community PKI.
  
 GÉANT TCS Zertifikate sind **nicht** für die Verschlüsselung von VoIP-Anschlüssen im Rahmen von DFNFernsprechen nutzbar. GÉANT TCS Zertifikate sind **nicht** für die Verschlüsselung von VoIP-Anschlüssen im Rahmen von DFNFernsprechen nutzbar.
  
-===eduroam===+====eduroam===
 + 
 +In [[de:eduroam:start|eduroam]] gibt es in jeder Einrichtung zwei verschiedene Einsatzszenarien für Serverzertifikate:
  
-In [[https://www2.dfn.de/dienstleistungen/eduroam/|eduroam]] gibt es in jeder Einrichtung zwei verschiedene Einsatzszenarien für Serverzertifikate: 
 1. Für den RADIUS-Server, gegen den sich die User authentifizieren 1. Für den RADIUS-Server, gegen den sich die User authentifizieren
 +
 2. Für den radsecproxy, der die Kommunikation zur eduroam-Föderation übernimmt 2. Für den radsecproxy, der die Kommunikation zur eduroam-Föderation übernimmt
  
-Für 1. ist es die eigene Entscheidung jeder Einrichtung, welche PKIs eingesetzt werden. Denkbar sind öffentlich vertraute PKIs wie GÉANT TCS, eigene interne PKIs, DFN-Verein Community PKI o.ä. . Die eingesetzte PKI muss in der Regel auf den Endgeräten Ihrer Nutzenden konfiguriert werden, so dass ein Wechsel gegebenenfalls große Auswirkungen hat.+Für 1. ist es die eigene Entscheidung jeder Einrichtung, welche PKIs eingesetzt werden. Denkbar sind öffentlich vertraute PKIs wie GÉANT TCS, eigene interne PKIs, DFN-Verein Community PKI o.ä. . Die eingesetzte PKI muss in der Regel auf den Endgeräten Ihrer Nutzenden konfiguriert werden, so dass ein Wechsel gegebenenfalls große Auswirkungen hat. Öffentlich vertraute PKIs machen erfahrungsgemäß am wenigsten Schwierigkeiten auf den Endgeräten der Nutzenden.
  
 Für 2. können ausschließlich Zertifikate aus der speziellen eduroam CA zum Einsatz kommen. Die radsecproxy **müssen** mit Zertifikate aus der eduroam CA ausgestattet werden. Für 2. können ausschließlich Zertifikate aus der speziellen eduroam CA zum Einsatz kommen. Die radsecproxy **müssen** mit Zertifikate aus der eduroam CA ausgestattet werden.
Zeile 25: Zeile 27:
 GÉANT TCS Zertifikate sind **nicht** für das Einsatzszenario 2. radsecproy nutzbar. GÉANT TCS Zertifikate sind **nicht** für das Einsatzszenario 2. radsecproy nutzbar.
  
-===DFN-AAI===+====DFN-AAI====
  
 In der [[https://www.aai.dfn.de/|DFN-AAI]] gibt es zwei verschiedene Einsatzszenarien für Serverzertifikate: In der [[https://www.aai.dfn.de/|DFN-AAI]] gibt es zwei verschiedene Einsatzszenarien für Serverzertifikate:
 +
 1. Für die Webserver, mit denen User mit ihren Browsern kommunizieren 1. Für die Webserver, mit denen User mit ihren Browsern kommunizieren
 +
 2. Für die SAML-basierte Kommunikation zwischen Identity Provider und Service Provider 2. Für die SAML-basierte Kommunikation zwischen Identity Provider und Service Provider
  
Zeile 37: Zeile 41:
 Standard-Zertifikate aus öffentlich vertrauten PKIs wie GÉANT TCS, Let's Encrypt o.ä. sind für das Einsatzszenario 2. zwar technisch nutzbar, aufgrund der geringen Laufzeiten und dem Aufwand beim Zertifikatwechsel aber nicht zu empfehlen. Standard-Zertifikate aus öffentlich vertrauten PKIs wie GÉANT TCS, Let's Encrypt o.ä. sind für das Einsatzszenario 2. zwar technisch nutzbar, aufgrund der geringen Laufzeiten und dem Aufwand beim Zertifikatwechsel aber nicht zu empfehlen.
  
-===Teilnehmerportal===+====Teilnehmerportal und DFN.Security Portal===
 + 
 +Für die Anmeldung am [[https://teilnehmerportal.dfn.de/|Teilnehmerportal]] und dem [[https://portal.security.dfn.de|DFN.Security-Portal]] werden Client-Zertifikate benötigt.
  
-Für die Nutzung des [[https://teilnehmerportal.dfn.de/|Teilnehmerportals]] werden User-Zertifikate benötigt, um sich anzumelden.+Es werden Zertifikate aus der [[:de:dfnpki:dfnvereincommunitypki|DFN-Verein Community PKI]] verwendet.
  
-Hierfür werden User-Zertifikate aus GÉANT TCS verwendetDokumentationen finden Sie unter [[https://doku.tid.dfn.de/de:dfnpki:tcsfaq#wie_erhalten_einrichtungen_einen_zugang]] und [[https://doku.tid.dfn.de/de:dfnpki:tcsfaq:ersteschritte]]+Ein Zugriff ist auch mit Client-Zertifikaten aus GÉANT TCS möglich, allerdings nicht empfohlen.
  
  • Zuletzt geändert: vor 15 Monaten