Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:faq:allgemein [2018/05/09 15:53] – Heike Ausserfeld | de:dfnpki:faq:allgemein [2018/05/23 16:54] – Steffen Klemer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ===== Fragen und Antworten zu Zertifikaten in der DFN-PKI ===== | + | ~~NOTOC~~ |
- | === Allgemein === | + | ===== Fragen und Antworten zu Zertifikaten in der DFN-PKI |
+ | |||
+ | {{METATOC 3}} | ||
==== 1. Was sind die Pflichten von Zertifikatinhabern? | ==== 1. Was sind die Pflichten von Zertifikatinhabern? | ||
Jeder Zertifikatinhaber muss Sorge tragen, dass sein privater Schlüssel angemessen geschützt ist und dass das Zertifikat in Übereinstimmung mit der Policy der DFN-PKI eingesetzt wird. Das Zertifikat ist unverzüglich zu sperren, wenn die Angaben des Zertifikats nicht mehr korrekt sind oder wenn der private Schlüssel abhanden gekommen, gestohlen oder möglicherweise kompromittiert wurde. Eine Darstellung dieser Pflichten findet sich im Dokument [[https:// | Jeder Zertifikatinhaber muss Sorge tragen, dass sein privater Schlüssel angemessen geschützt ist und dass das Zertifikat in Übereinstimmung mit der Policy der DFN-PKI eingesetzt wird. Das Zertifikat ist unverzüglich zu sperren, wenn die Angaben des Zertifikats nicht mehr korrekt sind oder wenn der private Schlüssel abhanden gekommen, gestohlen oder möglicherweise kompromittiert wurde. Eine Darstellung dieser Pflichten findet sich im Dokument [[https:// | ||
Zeile 11: | Zeile 14: | ||
Bei Beantragung eines Serverzertifikats muss der Zertifikatname in einem PKCS#10 Zertifikatrequest übermittelt werden. Hinweise zur Erzeugung eines PKCS#10 Zertifikatrequests mit korrektem Zertifikatnamen finden Sie in der [[https:// | Bei Beantragung eines Serverzertifikats muss der Zertifikatname in einem PKCS#10 Zertifikatrequest übermittelt werden. Hinweise zur Erzeugung eines PKCS#10 Zertifikatrequests mit korrektem Zertifikatnamen finden Sie in der [[https:// | ||
- | === 3. Was ist beim CN (Common Name) – Eintrag im Zertifikatnamen zu beachten? === | + | ==== 3. Was ist beim CN (Common Name) – Eintrag im Zertifikatnamen zu beachten? |
Neben den allgemeinen Regeln für Zertifikatnamen (s. Frage 1) ist beim CN-Eintrag folgendes zu beachten: | Neben den allgemeinen Regeln für Zertifikatnamen (s. Frage 1) ist beim CN-Eintrag folgendes zu beachten: | ||
Zeile 19: | Zeile 22: | ||
IP-Adressen dürfen im CN nicht angegeben werden. | IP-Adressen dürfen im CN nicht angegeben werden. | ||
- | === 4. Was ist bei Verwendung von Subject Alternative Names (SaN) zu beachten? === | + | ==== 4. Was ist bei Verwendung von Subject Alternative Names (SaN) zu beachten? |
Falls aus bestimmten Gründen ein nicht registrierter oder nicht voll qualifizierter Hostname verwendet werden muss, kann dieser als Subject Alternative Name (SaN) in der Zertifikaterweiterung " | Falls aus bestimmten Gründen ein nicht registrierter oder nicht voll qualifizierter Hostname verwendet werden muss, kann dieser als Subject Alternative Name (SaN) in der Zertifikaterweiterung " | ||
Zeile 28: | Zeile 31: | ||
Der Eintrag eines " | Der Eintrag eines " | ||
- | === 5. Können interne Domainnamen oder reservierte IP-Adressen verwendet werden? === | + | ==== 5. Können interne Domainnamen oder reservierte IP-Adressen verwendet werden? |
Im Sicherheitsniveau Global dürfen interne Domainnamen wie z.B. " | Im Sicherheitsniveau Global dürfen interne Domainnamen wie z.B. " | ||
Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie im Dokument " | Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie im Dokument " | ||
- | === 6. Welches Zertifikatprofil soll ich wählen? === | + | ==== 6. Welches Zertifikatprofil soll ich wählen? |
Wenn Sie über die Webschnittstelle Ihrer Zertifizierungsstelle ein Zertifikat unter der Registerkarte " | Wenn Sie über die Webschnittstelle Ihrer Zertifizierungsstelle ein Zertifikat unter der Registerkarte " | ||
Zeile 43: | Zeile 46: | ||
Eine PKCS#10 Datei kann auch mit Hilfe der Open Source Software OpenSSL (http:// | Eine PKCS#10 Datei kann auch mit Hilfe der Open Source Software OpenSSL (http:// | ||
- | === 8. Welche Bedingungen muss ein PKCS#10 Zertifikatrequest (CSR - Certificate Signing Request) erfüllen? === | + | ==== 8. Welche Bedingungen muss ein PKCS#10 Zertifikatrequest (CSR - Certificate Signing Request) erfüllen? |
Ein CSR für ein Zertifikat in der DFN-PKI muss folgende Bedingungen erfüllen: | Ein CSR für ein Zertifikat in der DFN-PKI muss folgende Bedingungen erfüllen: | ||
Zeile 51: | Zeile 54: | ||
Zur Erzeugung eines PKCS#10 Zertifikatrequests lesen Sie bitte die Anleitung zur Nutzung von OpenSSL. | Zur Erzeugung eines PKCS#10 Zertifikatrequests lesen Sie bitte die Anleitung zur Nutzung von OpenSSL. | ||
- | === 9. Wie kann ich einen PKCS#10 Zertifikatrequest überprüfen? | + | ==== 9. Wie kann ich einen PKCS#10 Zertifikatrequest überprüfen? |
Wenn Sie die Datei mit Ihrem PKCS#10 Zertifikatantrag vor dem Hochladen in die Webschnittstelle überprüfen möchten, können Sie dazu OpenSSL benutzen. Mit der Befehlszeile | Wenn Sie die Datei mit Ihrem PKCS#10 Zertifikatantrag vor dem Hochladen in die Webschnittstelle überprüfen möchten, können Sie dazu OpenSSL benutzen. Mit der Befehlszeile | ||
Zeile 60: | Zeile 63: | ||
Lesen Sie ggf. auch die Anleitung zur Nutzung von OpenSSL. | Lesen Sie ggf. auch die Anleitung zur Nutzung von OpenSSL. | ||
- | === 10. Wie wird der Public Key Fingerprint des PKCS#10 Zertifikatrequests berechnet? === | + | ==== 10. Wie wird der Public Key Fingerprint des PKCS#10 Zertifikatrequests berechnet? |
Wenn Sie den PKCS#10 Zertifikatrequest als Datei vorliegen haben, so können Sie mit openssl den Public Key Fingerprint berechnen, indem Sie die folgende Befehlszeile nutzen: | Wenn Sie den PKCS#10 Zertifikatrequest als Datei vorliegen haben, so können Sie mit openssl den Public Key Fingerprint berechnen, indem Sie die folgende Befehlszeile nutzen: | ||
openssl req -in <PKCS#10 Datei> -pubkey -noout | openssl rsa -pubin -text -noout | sed -e '/ | openssl req -in <PKCS#10 Datei> -pubkey -noout | openssl rsa -pubin -text -noout | sed -e '/ | ||
- | === 11. Wie erzeuge ich eine PKCS#12 Datei? === | + | ==== 11. Wie erzeuge ich eine PKCS#12 Datei? |
Zum Import eines Zertifikats in eine Anwendung benötigen Sie in der Regel das Zertifikat zusammen mit dem privaten und öffentlichen Schlüssel und ggf. mit der gesamten Zertifikatkette in einer PKCS# | Zum Import eines Zertifikats in eine Anwendung benötigen Sie in der Regel das Zertifikat zusammen mit dem privaten und öffentlichen Schlüssel und ggf. mit der gesamten Zertifikatkette in einer PKCS# | ||
Zeile 71: | Zeile 74: | ||
Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL. | Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL. | ||
- | === 12. Was bedeutet die Verlängerung eines Zertifikats? | + | ==== 12. Was bedeutet die Verlängerung eines Zertifikats? |
Da Zertifikate ein Gültigkeitsende haben, müssen sie regelmäßig erneuert oder verlängert werden. Unter einer Zertifikatverlängerung versteht man das Ausstellen eines neuen Zertifikats mit demselben Distinguished Name eines bereits existierenden Zertifikats. Neues und altes Zertifikat unterscheiden sich immer mindestens im Gültigkeitszeitraum und der Seriennummer. | Da Zertifikate ein Gültigkeitsende haben, müssen sie regelmäßig erneuert oder verlängert werden. Unter einer Zertifikatverlängerung versteht man das Ausstellen eines neuen Zertifikats mit demselben Distinguished Name eines bereits existierenden Zertifikats. Neues und altes Zertifikat unterscheiden sich immer mindestens im Gültigkeitszeitraum und der Seriennummer. | ||
- | === 13. Welche Arten von Zertifikatverlängerung gibt es? === | + | ==== 13. Welche Arten von Zertifikatverlängerung gibt es? ==== |
Technisch lässt sich die Zertifikatverlängerung auf zwei Arten durchführen: | Technisch lässt sich die Zertifikatverlängerung auf zwei Arten durchführen: | ||
Zeile 81: | Zeile 84: | ||
Die Zertifikatverlängerung ohne Schlüsseltausch hat theoretisch zwar Vorteile, ist in der Praxis jedoch problematisch: | Die Zertifikatverlängerung ohne Schlüsseltausch hat theoretisch zwar Vorteile, ist in der Praxis jedoch problematisch: | ||
- | === 14. Wie kann ein Zertifikat in der DFN-PKI verlängert werden? === | + | ==== 14. Wie kann ein Zertifikat in der DFN-PKI verlängert werden? |
Für eine Verlängerung ist in der DFN-PKI wie beim Erstantrag vorzugehen. Der Antragsteller ruft die Antragsseiten seiner Zertifizierungsstelle auf, erstellt einen Antrag unter Beibehaltung seiner Angaben aus dem alten Zertifikat und druckt diesen Antrag aus. Der Antrag muss anschließend der Registrierungsstelle übermittelt werden, die die weitere Bearbeitung übernimmt. | Für eine Verlängerung ist in der DFN-PKI wie beim Erstantrag vorzugehen. Der Antragsteller ruft die Antragsseiten seiner Zertifizierungsstelle auf, erstellt einen Antrag unter Beibehaltung seiner Angaben aus dem alten Zertifikat und druckt diesen Antrag aus. Der Antrag muss anschließend der Registrierungsstelle übermittelt werden, die die weitere Bearbeitung übernimmt. | ||
- | === 15. Was bedeutet die Veröffentlichung von Zertifikaten? | + | ==== 15. Was bedeutet die Veröffentlichung von Zertifikaten? |
Bei der Veröffentlichung von Zertifikaten muss grundsätzlich zwischen Nutzer- und Serverzertifikaten unterschieden werden. | Bei der Veröffentlichung von Zertifikaten muss grundsätzlich zwischen Nutzer- und Serverzertifikaten unterschieden werden. | ||
Zeile 102: | Zeile 105: | ||
Weitere Erläuterungen finden Sie im Blog der DFN-PKI. | Weitere Erläuterungen finden Sie im Blog der DFN-PKI. | ||
- | === 16. Wie erreiche ich den Verzeichnisdienst der DFN-PKI? === | + | ==== 16. Wie erreiche ich den Verzeichnisdienst der DFN-PKI? |
Der Verzeichnisdienst der DFN-PKI für Nutzerzertifikate im Sicherheitsniveau Global ist durch folgenden LDAP-Server realisiert: | Der Verzeichnisdienst der DFN-PKI für Nutzerzertifikate im Sicherheitsniveau Global ist durch folgenden LDAP-Server realisiert: | ||
Zeile 113: | Zeile 116: | ||
Basis-DN: o=GridGermany, | Basis-DN: o=GridGermany, | ||
- | === 17. Was sind " | + | ==== 17. Was sind " |
Greift man mit einem Browser auf eine zertifikatgeschützte Webseite zu, erhält man einen Hinweis auf das Sicherheitsniveau, | Greift man mit einem Browser auf eine zertifikatgeschützte Webseite zu, erhält man einen Hinweis auf das Sicherheitsniveau, | ||
Zeile 120: | Zeile 123: | ||
Der DFN-Verein beobachtet die Entwicklung zu EV-Zertifikaten und plant diese anzubieten, wenn sicherheitstechnischer Mehrwert und Kosten in einem angemessenen Gleichgewicht stehen. | Der DFN-Verein beobachtet die Entwicklung zu EV-Zertifikaten und plant diese anzubieten, wenn sicherheitstechnischer Mehrwert und Kosten in einem angemessenen Gleichgewicht stehen. | ||
- | === 18. Was sind PGP-Zertifikate? | + | ==== 18. Was sind PGP-Zertifikate? |
Neben den im DFN als Standard etablierten X.509 Zertifikaten gibt es als Alternative PGP-Zertifikate. Zwischen beiden Strukturen existiert u.a. ein wesentlicher Unterschied: | Neben den im DFN als Standard etablierten X.509 Zertifikaten gibt es als Alternative PGP-Zertifikate. Zwischen beiden Strukturen existiert u.a. ein wesentlicher Unterschied: | ||
In der DFN-PKI werden aufgrund der Anforderungen der DFN-Anwender ausschließlich X.509 Zertifikate ausgestellt. Es bleibt jedem Nutzer unbenommen, sich sein eigenes PGP-Schlüsselpaar zu erzeugen und sich über das Web of Trust mit Zertifikaten zu versorgen. | In der DFN-PKI werden aufgrund der Anforderungen der DFN-Anwender ausschließlich X.509 Zertifikate ausgestellt. Es bleibt jedem Nutzer unbenommen, sich sein eigenes PGP-Schlüsselpaar zu erzeugen und sich über das Web of Trust mit Zertifikaten zu versorgen. | ||
- | === 19. Wie überprüfe ich den Fingerprint eines Wurzelzertifikats? | + | ==== 19. Wie überprüfe ich den Fingerprint eines Wurzelzertifikats? |
Den Fingerprint eines Wurzelzertifikats können Sie über den OpenSSL-Befehl | Den Fingerprint eines Wurzelzertifikats können Sie über den OpenSSL-Befehl | ||
Zeile 135: | Zeile 138: | ||
ausgeben. Vergleichen Sie den Fingerprint mit dem von der CA veröffentlichten Fingerprint. Diese müssen gleich sein. Den von der CA veröffentlichten Fingerprint sollten Sie über einen anderen Weg beziehen als das Wurzelzertifikat - beispielsweise per Telefon. | ausgeben. Vergleichen Sie den Fingerprint mit dem von der CA veröffentlichten Fingerprint. Diese müssen gleich sein. Den von der CA veröffentlichten Fingerprint sollten Sie über einen anderen Weg beziehen als das Wurzelzertifikat - beispielsweise per Telefon. | ||
- | === 20. Was sind Wildcard-Zertifikate? | + | ==== 20. Was sind Wildcard-Zertifikate? |
Wildcard-Zertifikate sind spezielle Serverzertifikate, | Wildcard-Zertifikate sind spezielle Serverzertifikate, | ||
Zeile 142: | Zeile 145: | ||
Dadurch kann dieses Zertifikat für alle FQDNs unterhalb von pki.dfn.de verwendet werden, z.B. für pki1.pki.dfn.de und pki2.pki.dfn.de, | Dadurch kann dieses Zertifikat für alle FQDNs unterhalb von pki.dfn.de verwendet werden, z.B. für pki1.pki.dfn.de und pki2.pki.dfn.de, | ||
- | === 21. Wie können Wildcard-Zertifikate in der DFN-PKI genutzt werden? === | + | ==== 21. Wie können Wildcard-Zertifikate in der DFN-PKI genutzt werden? |
Da Wildcard-Zertifikate für eine ganze Subdomain verwendet werden können, ist der potentielle Schaden bei einer Kompromittierung des privaten Schlüssels deutlich höher als bei Zertifikaten für genau spezifizierte FQDNs. | Da Wildcard-Zertifikate für eine ganze Subdomain verwendet werden können, ist der potentielle Schaden bei einer Kompromittierung des privaten Schlüssels deutlich höher als bei Zertifikaten für genau spezifizierte FQDNs. | ||
Zeile 151: | Zeile 154: | ||
Wildcard-Zertifikate werden nur unterhalb von Sub-Domains oder Second-Level-Domains ausgestellt, | Wildcard-Zertifikate werden nur unterhalb von Sub-Domains oder Second-Level-Domains ausgestellt, | ||
- | === 22. Wie können Wildcard-Zertifikate in der DFN-PKI beantragt werden? === | + | ==== 22. Wie können Wildcard-Zertifikate in der DFN-PKI beantragt werden? |
Aufgrund des erhöhten Schadenspotentials können Wildcard-Zertifikate in der DFN-PKI nur auf Anfrage von handlungsberechtigten Personen bei der DFN-PCA [[dfnpca@dfn-cert.de]] beantragt werden. | Aufgrund des erhöhten Schadenspotentials können Wildcard-Zertifikate in der DFN-PKI nur auf Anfrage von handlungsberechtigten Personen bei der DFN-PCA [[dfnpca@dfn-cert.de]] beantragt werden. | ||
- | === 23. Auf welchen Certificate Transparency Logs werden Serverzertifikate der DFN-PKI veröffentlicht? | + | ==== 23. Auf welchen Certificate Transparency Logs werden Serverzertifikate der DFN-PKI veröffentlicht? |
Mit Stand Februar 2018 werden die folgenden Logs verwendet: | Mit Stand Februar 2018 werden die folgenden Logs verwendet: | ||