Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:faq:allgemein [2018/05/09 15:21] Heike Ausserfeldde:dfnpki:faq:allgemein [2018/05/31 14:47] Heike Ausserfeld
Zeile 1: Zeile 1:
-====== Fragen und Antworten zu Zertifikaten in der DFN-PKI ====== +~~NOTOC~~ 
-===== Allgemein ===== +===== Fragen und Antworten zu Zertifikaten in der DFN-PKI ===== 
-=== Was sind die Pflichten von Zertifikatinhabern? ===+ 
 +{{INLINETOC 3}} 
 + 
 +==== 1. Was sind die Pflichten von Zertifikatinhabern? ====
 Jeder Zertifikatinhaber muss Sorge tragen, dass sein privater Schlüssel angemessen geschützt ist und dass das Zertifikat in Übereinstimmung mit der Policy der DFN-PKI eingesetzt wird. Das Zertifikat ist unverzüglich zu sperren, wenn die Angaben des Zertifikats nicht mehr korrekt sind oder wenn der private Schlüssel abhanden gekommen, gestohlen oder möglicherweise kompromittiert wurde. Eine Darstellung dieser Pflichten findet sich im Dokument [[https://www.pki.dfn.de/fileadmin/PKI/Info-fuer-Zertifikatinhaber.pdf|"Informationen für Zertifikatinhaber in der DFN-PKI"]]. Jeder Zertifikatinhaber muss Sorge tragen, dass sein privater Schlüssel angemessen geschützt ist und dass das Zertifikat in Übereinstimmung mit der Policy der DFN-PKI eingesetzt wird. Das Zertifikat ist unverzüglich zu sperren, wenn die Angaben des Zertifikats nicht mehr korrekt sind oder wenn der private Schlüssel abhanden gekommen, gestohlen oder möglicherweise kompromittiert wurde. Eine Darstellung dieser Pflichten findet sich im Dokument [[https://www.pki.dfn.de/fileadmin/PKI/Info-fuer-Zertifikatinhaber.pdf|"Informationen für Zertifikatinhaber in der DFN-PKI"]].
  
-=== Wie sieht ein korrekter Zertifikatname (DN - Distiguished Name) aus? ===+==== 2. Wie sieht ein korrekter Zertifikatname (DN - Distiguished Name) aus? ====
 Der Zertifikatname darf keine Umlaute und andere Sonderzeichen enthalten. Erlaubt sind a-z A-Z 0-9 ' ( ) , - . / : und Leerzeichen. Auf Groß- und Kleinschreibung ist zu achten. Dies gilt für alle Komponenten (Attribute) des Zertifikatnamens. Der Zertifikatname darf keine Umlaute und andere Sonderzeichen enthalten. Erlaubt sind a-z A-Z 0-9 ' ( ) , - . / : und Leerzeichen. Auf Groß- und Kleinschreibung ist zu achten. Dies gilt für alle Komponenten (Attribute) des Zertifikatnamens.
  
 Der Zertifikatname muss der Namensform entsprechen, die im CPS Ihrer Zertifizierungsstelle festgelegt ist. Hierbei ist insbesondere auf die dort erlaubten bzw. festgelegten Attribute zu achten. Bei Beantragung eines Nutzerzertifikats über die Webschnittelle der Zertifizierungsstelle werden die festlegten Attribute automatisch übernommen. Regeln für den "Common Name" (Attribut CN) im Zertifikatnamen finden Sie unter Frage 3. Der Zertifikatname muss der Namensform entsprechen, die im CPS Ihrer Zertifizierungsstelle festgelegt ist. Hierbei ist insbesondere auf die dort erlaubten bzw. festgelegten Attribute zu achten. Bei Beantragung eines Nutzerzertifikats über die Webschnittelle der Zertifizierungsstelle werden die festlegten Attribute automatisch übernommen. Regeln für den "Common Name" (Attribut CN) im Zertifikatnamen finden Sie unter Frage 3.
  
-Bei Beantragung eines Serverzertifikats muss der Zertifikatname in einem PKCS#10 Zertifikatrequest übermittelt werden. Hinweise zur Erzeugung eines PKCS#10 Zertifikatrequests mit korrektem Zertifikatnamen finden Sie in der Anleitung zur Nutzung von OpenSSL.+Bei Beantragung eines Serverzertifikats muss der Zertifikatname in einem PKCS#10 Zertifikatrequest übermittelt werden. Hinweise zur Erzeugung eines PKCS#10 Zertifikatrequests mit korrektem Zertifikatnamen finden Sie in der [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Anleitung zur Nutzung von OpenSSL]].
  
-=== Was ist beim CN (Common Name) – Eintrag im Zertifikatnamen zu beachten? ===+==== 3. Was ist beim CN (Common Name) – Eintrag im Zertifikatnamen zu beachten? ====
 Neben den allgemeinen Regeln für Zertifikatnamen (s. Frage 1) ist beim CN-Eintrag folgendes zu beachten: Neben den allgemeinen Regeln für Zertifikatnamen (s. Frage 1) ist beim CN-Eintrag folgendes zu beachten:
  
Zeile 19: Zeile 22:
 IP-Adressen dürfen im CN nicht angegeben werden. IP-Adressen dürfen im CN nicht angegeben werden.
  
-=== Was ist bei Verwendung von Subject Alternative Names (SaN) zu beachten? ===+==== 4. Was ist bei Verwendung von Subject Alternative Names (SaN) zu beachten? ====
 Falls aus bestimmten Gründen ein nicht registrierter oder nicht voll qualifizierter Hostname verwendet werden muss, kann dieser als Subject Alternative Name (SaN) in der Zertifikaterweiterung "subjectAlternativeName" mit dem Typ "DNS" eingetragen werden. IP-Adressen können ebenfalls als "subjectAlternativeName" mit dem Typ "IP" eingetragen werden. Bitte beachten Sie, dass neuere Versionen des Internet Explorers IP-Adressen im Subject Alternative Name nicht akzeptieren. Falls aus bestimmten Gründen ein nicht registrierter oder nicht voll qualifizierter Hostname verwendet werden muss, kann dieser als Subject Alternative Name (SaN) in der Zertifikaterweiterung "subjectAlternativeName" mit dem Typ "DNS" eingetragen werden. IP-Adressen können ebenfalls als "subjectAlternativeName" mit dem Typ "IP" eingetragen werden. Bitte beachten Sie, dass neuere Versionen des Internet Explorers IP-Adressen im Subject Alternative Name nicht akzeptieren.
  
Zeile 28: Zeile 31:
 Der Eintrag eines "subjectAlternativeName" in einem PKCS#10 Zertifikatrequest, der über die Webschnittstelle für Nutzer und Administratoren übermittelt wird, wird in der DFN-PKI grundsätzlich übernommen. Ausnahme: Die Einrichtung hat für ihre CA die Ignorierung des "subjectAlternativeName" explizit vereinbart. Der Eintrag eines "subjectAlternativeName" in einem PKCS#10 Zertifikatrequest, der über die Webschnittstelle für Nutzer und Administratoren übermittelt wird, wird in der DFN-PKI grundsätzlich übernommen. Ausnahme: Die Einrichtung hat für ihre CA die Ignorierung des "subjectAlternativeName" explizit vereinbart.
  
-=== Können interne Domainnamen oder reservierte IP-Adressen verwendet werden? ===+==== 5. Können interne Domainnamen oder reservierte IP-Adressen verwendet werden? ====
 Im Sicherheitsniveau Global dürfen interne Domainnamen wie z.B. "mail.local " oder reservierte IP-Adressen wie z.B. 192.168.6.1 seit Herbst 2015 nicht mehr in Zertifikaten verwendet werden. Im Sicherheitsniveau Global dürfen interne Domainnamen wie z.B. "mail.local " oder reservierte IP-Adressen wie z.B. 192.168.6.1 seit Herbst 2015 nicht mehr in Zertifikaten verwendet werden.
  
 Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie im Dokument "Interne Namen in Serverzertifikaten in der DFN-PKI." Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie im Dokument "Interne Namen in Serverzertifikaten in der DFN-PKI."
  
-=== Welches Zertifikatprofil soll ich wählen? ===+==== 6. Welches Zertifikatprofil soll ich wählen? ====
 Wenn Sie über die Webschnittstelle Ihrer Zertifizierungsstelle ein Zertifikat unter der Registerkarte "Serverzertifikat" beantragen, müssen Sie ein Zertifikatprofil auswählen, das zu dem Einsatzzweck dieses Zertifikats passt. Welches Zertifikatprofil für welche Einsatzzwecke geeignet ist, finden Sie in der Liste DFN-PKI Zertifikatprofile (technische Beschreibung der Profile). Wenn Sie über die Webschnittstelle Ihrer Zertifizierungsstelle ein Zertifikat unter der Registerkarte "Serverzertifikat" beantragen, müssen Sie ein Zertifikatprofil auswählen, das zu dem Einsatzzweck dieses Zertifikats passt. Welches Zertifikatprofil für welche Einsatzzwecke geeignet ist, finden Sie in der Liste DFN-PKI Zertifikatprofile (technische Beschreibung der Profile).
  
-=== Wie erzeuge ich einen PKCS#10 Zertifikatrequest (CSR - Certificate Signing Request)? ===+=== 7. Wie erzeuge ich einen PKCS#10 Zertifikatrequest (CSR - Certificate Signing Request)? ===
 Zum Beantragen eines Serverzertifikats über die Webschnittstelle Ihrer Zertifizierungsstelle müssen die Zertifikatdaten in einer PKCS#10 Datei im .pem-Format übermittelt werden. Dazu geben Sie in der Webschnittstelle an entsprechender Stelle den Namen der Datei an. Zum Beantragen eines Serverzertifikats über die Webschnittstelle Ihrer Zertifizierungsstelle müssen die Zertifikatdaten in einer PKCS#10 Datei im .pem-Format übermittelt werden. Dazu geben Sie in der Webschnittstelle an entsprechender Stelle den Namen der Datei an.
  
Zeile 43: Zeile 46:
 Eine PKCS#10 Datei kann auch mit Hilfe der Open Source Software OpenSSL (http://www.openssl.org ) erzeugt werden. Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL. Eine PKCS#10 Datei kann auch mit Hilfe der Open Source Software OpenSSL (http://www.openssl.org ) erzeugt werden. Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL.
  
-=== Welche Bedingungen muss ein PKCS#10 Zertifikatrequest (CSR - Certificate Signing Request) erfüllen? ===+==== 8. Welche Bedingungen muss ein PKCS#10 Zertifikatrequest (CSR - Certificate Signing Request) erfüllen? ====
 Ein CSR für ein Zertifikat in der DFN-PKI muss folgende Bedingungen erfüllen: Ein CSR für ein Zertifikat in der DFN-PKI muss folgende Bedingungen erfüllen:
  
Zeile 51: Zeile 54:
 Zur Erzeugung eines PKCS#10 Zertifikatrequests lesen Sie bitte die Anleitung zur Nutzung von OpenSSL. Zur Erzeugung eines PKCS#10 Zertifikatrequests lesen Sie bitte die Anleitung zur Nutzung von OpenSSL.
  
-=== Wie kann ich einen PKCS#10 Zertifikatrequest überprüfen? ===+==== 9. Wie kann ich einen PKCS#10 Zertifikatrequest überprüfen? ====
 Wenn Sie die Datei mit Ihrem PKCS#10 Zertifikatantrag vor dem Hochladen in die Webschnittstelle überprüfen möchten, können Sie dazu OpenSSL benutzen. Mit der Befehlszeile Wenn Sie die Datei mit Ihrem PKCS#10 Zertifikatantrag vor dem Hochladen in die Webschnittstelle überprüfen möchten, können Sie dazu OpenSSL benutzen. Mit der Befehlszeile
  
Zeile 60: Zeile 63:
 Lesen Sie ggf. auch die Anleitung zur Nutzung von OpenSSL. Lesen Sie ggf. auch die Anleitung zur Nutzung von OpenSSL.
  
-=== Wie wird der Public Key Fingerprint des PKCS#10 Zertifikatrequests berechnet? ===+==== 10. Wie wird der Public Key Fingerprint des PKCS#10 Zertifikatrequests berechnet? ====
 Wenn Sie den PKCS#10 Zertifikatrequest als Datei vorliegen haben, so können Sie mit openssl den Public Key Fingerprint berechnen, indem Sie die folgende Befehlszeile nutzen: Wenn Sie den PKCS#10 Zertifikatrequest als Datei vorliegen haben, so können Sie mit openssl den Public Key Fingerprint berechnen, indem Sie die folgende Befehlszeile nutzen:
  
   openssl req -in <PKCS#10 Datei> -pubkey -noout | openssl rsa -pubin -text -noout | sed -e '/Modulus:$/d' | sed -e 's/Public-Key: (\(.*\))/Modulus (\1):/' | openssl sha1   openssl req -in <PKCS#10 Datei> -pubkey -noout | openssl rsa -pubin -text -noout | sed -e '/Modulus:$/d' | sed -e 's/Public-Key: (\(.*\))/Modulus (\1):/' | openssl sha1
  
-=== Wie erzeuge ich eine PKCS#12 Datei? ===+==== 11. Wie erzeuge ich eine PKCS#12 Datei? ====
 Zum Import eines Zertifikats in eine Anwendung benötigen Sie in der Regel das Zertifikat zusammen mit dem privaten und öffentlichen Schlüssel und ggf. mit der gesamten Zertifikatkette in einer PKCS#12-Datei (Extension .p12). Wenn Sie das Schlüsselpaar in Ihrem Browser erzeugt und das Zertifikat in den Browser importiert haben, können Sie eine PKCS#12-Datei aus dem Browser heraus exportieren. Siehe dazu FAQ-Mozilla, Frage 5 bzw. FAQ-Windows, Frage 4. Zum Import eines Zertifikats in eine Anwendung benötigen Sie in der Regel das Zertifikat zusammen mit dem privaten und öffentlichen Schlüssel und ggf. mit der gesamten Zertifikatkette in einer PKCS#12-Datei (Extension .p12). Wenn Sie das Schlüsselpaar in Ihrem Browser erzeugt und das Zertifikat in den Browser importiert haben, können Sie eine PKCS#12-Datei aus dem Browser heraus exportieren. Siehe dazu FAQ-Mozilla, Frage 5 bzw. FAQ-Windows, Frage 4.
  
Zeile 71: Zeile 74:
 Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL. Lesen Sie dazu bitte die Anleitung zur Nutzung von OpenSSL.
  
-=== Was bedeutet die Verlängerung eines Zertifikats? ===+==== 12. Was bedeutet die Verlängerung eines Zertifikats? ====
 Da Zertifikate ein Gültigkeitsende haben, müssen sie regelmäßig erneuert oder verlängert werden. Unter einer Zertifikatverlängerung versteht man das Ausstellen eines neuen Zertifikats mit demselben Distinguished Name eines bereits existierenden Zertifikats. Neues und altes Zertifikat unterscheiden sich immer mindestens im Gültigkeitszeitraum und der Seriennummer. Da Zertifikate ein Gültigkeitsende haben, müssen sie regelmäßig erneuert oder verlängert werden. Unter einer Zertifikatverlängerung versteht man das Ausstellen eines neuen Zertifikats mit demselben Distinguished Name eines bereits existierenden Zertifikats. Neues und altes Zertifikat unterscheiden sich immer mindestens im Gültigkeitszeitraum und der Seriennummer.
  
-=== Welche Arten von Zertifikatverlängerung gibt es? ===+==== 13. Welche Arten von Zertifikatverlängerung gibt es? ====
 Technisch lässt sich die Zertifikatverlängerung auf zwei Arten durchführen: Entweder mit Austausch des geheimen und öffentlichen Schlüssels oder unter Beibehaltung des alten Schlüsselpaars. Technisch lässt sich die Zertifikatverlängerung auf zwei Arten durchführen: Entweder mit Austausch des geheimen und öffentlichen Schlüssels oder unter Beibehaltung des alten Schlüsselpaars.
  
Zeile 81: Zeile 84:
 Die Zertifikatverlängerung ohne Schlüsseltausch hat theoretisch zwar Vorteile, ist in der Praxis jedoch problematisch: Die meiste Software identifiziert Schlüssel anhand des dazugehörigen Zertifikats, so dass ein unbedachtes Löschen von abgelaufenen Zertifikaten auch hier dazu führen kann, dass verschlüsselte Daten nicht mehr zugänglich sind. Die Zertifikatverlängerung ohne Schlüsseltausch hat theoretisch zwar Vorteile, ist in der Praxis jedoch problematisch: Die meiste Software identifiziert Schlüssel anhand des dazugehörigen Zertifikats, so dass ein unbedachtes Löschen von abgelaufenen Zertifikaten auch hier dazu führen kann, dass verschlüsselte Daten nicht mehr zugänglich sind.
  
-=== Wie kann ein Zertifikat in der DFN-PKI verlängert werden? ===+==== 14. Wie kann ein Zertifikat in der DFN-PKI verlängert werden? ====
 Für eine Verlängerung ist in der DFN-PKI wie beim Erstantrag vorzugehen. Der Antragsteller ruft die Antragsseiten seiner Zertifizierungsstelle auf, erstellt einen Antrag unter Beibehaltung seiner Angaben aus dem alten Zertifikat und druckt diesen Antrag aus. Der Antrag muss anschließend der Registrierungsstelle übermittelt werden, die die weitere Bearbeitung übernimmt. Für eine Verlängerung ist in der DFN-PKI wie beim Erstantrag vorzugehen. Der Antragsteller ruft die Antragsseiten seiner Zertifizierungsstelle auf, erstellt einen Antrag unter Beibehaltung seiner Angaben aus dem alten Zertifikat und druckt diesen Antrag aus. Der Antrag muss anschließend der Registrierungsstelle übermittelt werden, die die weitere Bearbeitung übernimmt.
  
-=== Was bedeutet die Veröffentlichung von Zertifikaten? ===+==== 15. Was bedeutet die Veröffentlichung von Zertifikaten? ====
 Bei der Veröffentlichung von Zertifikaten muss grundsätzlich zwischen Nutzer- und Serverzertifikaten unterschieden werden. Bei der Veröffentlichung von Zertifikaten muss grundsätzlich zwischen Nutzer- und Serverzertifikaten unterschieden werden.
  
Zeile 102: Zeile 105:
 Weitere Erläuterungen finden Sie im Blog der DFN-PKI. Weitere Erläuterungen finden Sie im Blog der DFN-PKI.
  
-=== Wie erreiche ich den Verzeichnisdienst der DFN-PKI? ===+==== 16. Wie erreiche ich den Verzeichnisdienst der DFN-PKI? ====
 Der Verzeichnisdienst der DFN-PKI für Nutzerzertifikate im Sicherheitsniveau Global ist durch folgenden LDAP-Server realisiert: Der Verzeichnisdienst der DFN-PKI für Nutzerzertifikate im Sicherheitsniveau Global ist durch folgenden LDAP-Server realisiert:
  
Zeile 113: Zeile 116:
   Basis-DN: o=GridGermany,c=de   Basis-DN: o=GridGermany,c=de
  
-=== Was sind "Extended Validation" Zertifikate? ===+==== 17. Was sind "Extended Validation" Zertifikate? ====
 Greift man mit einem Browser auf eine zertifikatgeschützte Webseite zu, erhält man einen Hinweis auf das Sicherheitsniveau, unter dem das entsprechende Zertifikat ausgestellt wurde. "Extended Validation (EV)" Zertifikate enthalten einen Verweis auf die Zertifizierungsrichtlinie des Ausstellers und können dadurch von Browsern speziell dargestellt werden, falls diese Zertifizierungsrichtlinie einer "strikteren" Prüfung unterliegt (so wird z.B. die URL-Leiste grün gefärbt und es erscheint der Name des Ausstellers in grün). Greift man mit einem Browser auf eine zertifikatgeschützte Webseite zu, erhält man einen Hinweis auf das Sicherheitsniveau, unter dem das entsprechende Zertifikat ausgestellt wurde. "Extended Validation (EV)" Zertifikate enthalten einen Verweis auf die Zertifizierungsrichtlinie des Ausstellers und können dadurch von Browsern speziell dargestellt werden, falls diese Zertifizierungsrichtlinie einer "strikteren" Prüfung unterliegt (so wird z.B. die URL-Leiste grün gefärbt und es erscheint der Name des Ausstellers in grün).
  
Zeile 120: Zeile 123:
 Der DFN-Verein beobachtet die Entwicklung zu EV-Zertifikaten und plant diese anzubieten, wenn sicherheitstechnischer Mehrwert und Kosten in einem angemessenen Gleichgewicht stehen.  Der DFN-Verein beobachtet die Entwicklung zu EV-Zertifikaten und plant diese anzubieten, wenn sicherheitstechnischer Mehrwert und Kosten in einem angemessenen Gleichgewicht stehen. 
  
-=== Was sind PGP-Zertifikate? ===+==== 18. Was sind PGP-Zertifikate? ====
 Neben den im DFN als Standard etablierten X.509 Zertifikaten gibt es als Alternative PGP-Zertifikate. Zwischen beiden Strukturen existiert u.a. ein wesentlicher Unterschied: Erfolgt die Vertrauensbildung bei X.509 über ein hierarchisches System von Zertifizierungs- und Registrierungsstellen, so wird dies bei PGP über ein sogenanntes "Web of Trust" gebildet. Neben den im DFN als Standard etablierten X.509 Zertifikaten gibt es als Alternative PGP-Zertifikate. Zwischen beiden Strukturen existiert u.a. ein wesentlicher Unterschied: Erfolgt die Vertrauensbildung bei X.509 über ein hierarchisches System von Zertifizierungs- und Registrierungsstellen, so wird dies bei PGP über ein sogenanntes "Web of Trust" gebildet.
  
 In der DFN-PKI werden aufgrund der Anforderungen der DFN-Anwender ausschließlich X.509 Zertifikate ausgestellt. Es bleibt jedem Nutzer unbenommen, sich sein eigenes PGP-Schlüsselpaar zu erzeugen und sich über das Web of Trust mit Zertifikaten zu versorgen. In der DFN-PKI werden aufgrund der Anforderungen der DFN-Anwender ausschließlich X.509 Zertifikate ausgestellt. Es bleibt jedem Nutzer unbenommen, sich sein eigenes PGP-Schlüsselpaar zu erzeugen und sich über das Web of Trust mit Zertifikaten zu versorgen.
  
-=== Wie überprüfe ich den Fingerprint eines Wurzelzertifikats? ===+==== 19. Wie überprüfe ich den Fingerprint eines Wurzelzertifikats? ====
 Den Fingerprint eines Wurzelzertifikats können Sie über den OpenSSL-Befehl Den Fingerprint eines Wurzelzertifikats können Sie über den OpenSSL-Befehl
  
Zeile 135: Zeile 138:
 ausgeben. Vergleichen Sie den Fingerprint mit dem von der CA veröffentlichten Fingerprint. Diese müssen gleich sein. Den von der CA veröffentlichten Fingerprint sollten Sie über einen anderen Weg beziehen als das Wurzelzertifikat - beispielsweise per Telefon. ausgeben. Vergleichen Sie den Fingerprint mit dem von der CA veröffentlichten Fingerprint. Diese müssen gleich sein. Den von der CA veröffentlichten Fingerprint sollten Sie über einen anderen Weg beziehen als das Wurzelzertifikat - beispielsweise per Telefon.
  
-=== Was sind Wildcard-Zertifikate? ===+==== 20. Was sind Wildcard-Zertifikate? ====
 Wildcard-Zertifikate sind spezielle Serverzertifikate, bei denen der FQDN im CN oder in einem alternativen Namen vom Typ 'DNS' an der am weitesten links stehenden Domain-Komponente einen Stern ("*") - die Wildcard - enthält. Wildcard-Zertifikate sind spezielle Serverzertifikate, bei denen der FQDN im CN oder in einem alternativen Namen vom Typ 'DNS' an der am weitesten links stehenden Domain-Komponente einen Stern ("*") - die Wildcard - enthält.
  
Zeile 142: Zeile 145:
 Dadurch kann dieses Zertifikat für alle FQDNs unterhalb von pki.dfn.de verwendet werden, z.B. für pki1.pki.dfn.de und pki2.pki.dfn.de, allerdings nicht für längere FQDNs wie etwa www.pki1.pki.dfn.de oder kürzere wie pki.dfn.de selbst. Dadurch kann dieses Zertifikat für alle FQDNs unterhalb von pki.dfn.de verwendet werden, z.B. für pki1.pki.dfn.de und pki2.pki.dfn.de, allerdings nicht für längere FQDNs wie etwa www.pki1.pki.dfn.de oder kürzere wie pki.dfn.de selbst.
  
-=== Wie können Wildcard-Zertifikate in der DFN-PKI genutzt werden? ===+==== 21. Wie können Wildcard-Zertifikate in der DFN-PKI genutzt werden? ====
 Da Wildcard-Zertifikate für eine ganze Subdomain verwendet werden können, ist der potentielle Schaden bei einer Kompromittierung des privaten Schlüssels deutlich höher als bei Zertifikaten für genau spezifizierte FQDNs. Da Wildcard-Zertifikate für eine ganze Subdomain verwendet werden können, ist der potentielle Schaden bei einer Kompromittierung des privaten Schlüssels deutlich höher als bei Zertifikaten für genau spezifizierte FQDNs.
  
Zeile 151: Zeile 154:
 Wildcard-Zertifikate werden nur unterhalb von Sub-Domains oder Second-Level-Domains ausgestellt, die ausschließlich für einen klar abgegrenzten Zweck genutzt werden, also beispielsweise entweder für "*.roaming.dfn.de" oder für "*.dfnroaming.de", nicht aber für "*.dfn.de" Wildcard-Zertifikate werden nur unterhalb von Sub-Domains oder Second-Level-Domains ausgestellt, die ausschließlich für einen klar abgegrenzten Zweck genutzt werden, also beispielsweise entweder für "*.roaming.dfn.de" oder für "*.dfnroaming.de", nicht aber für "*.dfn.de"
  
-=== Wie können Wildcard-Zertifikate in der DFN-PKI beantragt werden? ===+==== 22. Wie können Wildcard-Zertifikate in der DFN-PKI beantragt werden? ====
 Aufgrund des erhöhten Schadenspotentials können Wildcard-Zertifikate in der DFN-PKI nur auf Anfrage von handlungsberechtigten Personen bei der DFN-PCA [[dfnpca@dfn-cert.de]] beantragt werden. Aufgrund des erhöhten Schadenspotentials können Wildcard-Zertifikate in der DFN-PKI nur auf Anfrage von handlungsberechtigten Personen bei der DFN-PCA [[dfnpca@dfn-cert.de]] beantragt werden.
  
-=== Auf welchen Certificate Transparency Logs werden Serverzertifikate der DFN-PKI veröffentlicht? ===+==== 23. Auf welchen Certificate Transparency Logs werden Serverzertifikate der DFN-PKI veröffentlicht? ====
 Mit Stand Februar 2018 werden die folgenden Logs verwendet: Mit Stand Februar 2018 werden die folgenden Logs verwendet: