Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:faq:gen2 [2018/05/15 15:15] – angelegt Heike Ausserfeldde:dfnpki:faq:gen2 [2018/05/15 15:59] Heike Ausserfeld
Zeile 1: Zeile 1:
-1. Generell +===== FAQ Generation 2 - 1. Generell ===== 
-1.1 Was zeichnet die zweite Generation der DFN-PKI aus?+ 
 +==== 1.1 Was zeichnet die zweite Generation der DFN-PKI aus? ====
  
 Während die erste Generation der DFN-PKI, die seit 2007 in Betrieb ist, mit dem Wurzelzertifikat „Deutsche Telekom Root CA 2“ in den Betriebssystemen und Browsern verankert ist, verwendet die zweite Generation die „T-TeleSec GobalRoot Class 2“: Während die erste Generation der DFN-PKI, die seit 2007 in Betrieb ist, mit dem Wurzelzertifikat „Deutsche Telekom Root CA 2“ in den Betriebssystemen und Browsern verankert ist, verwendet die zweite Generation die „T-TeleSec GobalRoot Class 2“:
Zeile 7: Zeile 8:
  
 Ein weiterer Unterschied: In der ersten Generation haben die meisten Einrichtungen eine eigene, echte Sub-CA mit einem eigenen einrichtungsspezifischen Sub-CA-Zertifikat in der Zertifizierungshierarchie erhalten. Dagegen werden in der zweiten Generation der DFN-PKI die Zertifikate üblicherweise in der dfn-ca-global-g2 mit dem Sub-CA-Zertifikat „DFN-Verein Global Issuing CA“ ausgestellt. Ein weiterer Unterschied: In der ersten Generation haben die meisten Einrichtungen eine eigene, echte Sub-CA mit einem eigenen einrichtungsspezifischen Sub-CA-Zertifikat in der Zertifizierungshierarchie erhalten. Dagegen werden in der zweiten Generation der DFN-PKI die Zertifikate üblicherweise in der dfn-ca-global-g2 mit dem Sub-CA-Zertifikat „DFN-Verein Global Issuing CA“ ausgestellt.
-1.2 Warum ist die zweite Generation der DFN-PKI notwendig?+ 
 +==== 1.2 Warum ist die zweite Generation der DFN-PKI notwendig? ====
  
 Das Wurzelzertifikat „Deutsche Telekom Root CA 2“ der ersten Generation läuft im Juli 2019 ab und es gibt keine verlängerte Version dieses Zertifikats. Daher muss die DFN-PKI auf ein neues Wurzelzertifikat wechseln. Das Wurzelzertifikat „Deutsche Telekom Root CA 2“ der ersten Generation läuft im Juli 2019 ab und es gibt keine verlängerte Version dieses Zertifikats. Daher muss die DFN-PKI auf ein neues Wurzelzertifikat wechseln.
-1.3 Wie lange kann die zweite Generation der DFN-PKI genutzt werden?+ 
 +==== 1.3 Wie lange kann die zweite Generation der DFN-PKI genutzt werden? ====
  
 Das Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ ist bis 2033 gültig. Das Intermediate-Zertifikat für die DFN-PCA hat eine Laufzeit bis Februar 2031. Das Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ ist bis 2033 gültig. Das Intermediate-Zertifikat für die DFN-PCA hat eine Laufzeit bis Februar 2031.
  
 Wurzelzertifikate Global (Generation 2): www.pki.dfn.de/root/globalroot2/ Wurzelzertifikate Global (Generation 2): www.pki.dfn.de/root/globalroot2/
-1.4 Was passiert mit ausgestellten Zertifikaten und CAs aus der ersten Generation der DFN-PKI?+ 
 +==== 1.4 Was passiert mit ausgestellten Zertifikaten und CAs aus der ersten Generation der DFN-PKI? ====
  
 Die erste Generation der DFN-PKI wird bis zum Laufzeitende des Wurzelzertifikats im Juli 2019 weiter betrieben. Die ausgestellten Zertifikate bleiben unverändert bis zu deren Ablauf bzw. Sperrung gültig, sofern dem nicht neue Anforderungen von Browser- oder Betriebssystemherstellern entgegenstehen. Die erste Generation der DFN-PKI wird bis zum Laufzeitende des Wurzelzertifikats im Juli 2019 weiter betrieben. Die ausgestellten Zertifikate bleiben unverändert bis zu deren Ablauf bzw. Sperrung gültig, sofern dem nicht neue Anforderungen von Browser- oder Betriebssystemherstellern entgegenstehen.
-2. Umstieg + 
-2.1 Wie stelle ich auf die zweite Generation der DFN-PKI um?+===== FAQ Generation 2 - 2. Umstieg ===== 
 + 
 +==== 2.1 Wie stelle ich auf die zweite Generation der DFN-PKI um? ====
  
 Sie können die zweite Generation der DFN-PKI sofort nutzen, indem Sie Zertifikatanträge über die neue URL stellen lassen (siehe Abschnitt „Antragsstellung“) und in Ihrem neuen Teilnehmerservice-Zugang (siehe Abschnitt „Teilnehmerservice“) genehmigen. Sie können die zweite Generation der DFN-PKI sofort nutzen, indem Sie Zertifikatanträge über die neue URL stellen lassen (siehe Abschnitt „Antragsstellung“) und in Ihrem neuen Teilnehmerservice-Zugang (siehe Abschnitt „Teilnehmerservice“) genehmigen.
Zeile 30: Zeile 36:
  
 Diese Anwendungen werden in dieser FAQ weiter unten beschrieben. Diese Anwendungen werden in dieser FAQ weiter unten beschrieben.
-2.2 Was muss beim Umstieg von normalen Nutzer- und Serverzertifikaten beachtet werden?+ 
 +==== 2.2 Was muss beim Umstieg von normalen Nutzer- und Serverzertifikaten beachtet werden? ====
  
 Der Zertifikatinhaber, egal ob Nutzer oder Serveradministrator, muss in jedem Fall auch die neue Zertifizierungskette in seine Software importieren. Die neue Zertifizierungskette findet sich auf den Antragsseiten unter „CA-Zertifikate“. Der Zertifikatinhaber, egal ob Nutzer oder Serveradministrator, muss in jedem Fall auch die neue Zertifizierungskette in seine Software importieren. Die neue Zertifizierungskette findet sich auf den Antragsseiten unter „CA-Zertifikate“.
  
 Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ssltest/ Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ssltest/
-2.3 Wo ist die „T-TeleSec GlobalRoot Class 2“ überall verankert?+ 
 +==== 2.3 Wo ist die „T-TeleSec GlobalRoot Class 2“ überall verankert? ====
  
 Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert. Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert.
Zeile 47: Zeile 55:
     Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!).     Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!).
  
-2.4 Was ist bei Serverzertifikaten in Bezug auf Android <= 4.4 zu beachten?+==== 2.4 Was ist bei Serverzertifikaten in Bezug auf Android <= 4.4 zu beachten? ====
  
 Android <= 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben. Android <= 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben.
Zeile 56: Zeile 64:
  
 Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, die im Juli 2019 ablaufen. Sie werden von der DFN-PKI nicht über den Ablauf dieser alternativen Zertifizierungskette gewarnt! Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, die im Juli 2019 ablaufen. Sie werden von der DFN-PKI nicht über den Ablauf dieser alternativen Zertifizierungskette gewarnt!
-2.5 Gibt es Besonderheiten im Umgang mit eduroam und RADIUS-Serverzertifikaten?+ 
 +==== 2.5 Gibt es Besonderheiten im Umgang mit eduroam und RADIUS-Serverzertifikaten? ====
  
 Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen. Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen.
  
 Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog. Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog.
-2.6 Gibt es Besonderheiten bei der Client-Authentifizierung?+ 
 +==== 2.6 Gibt es Besonderheiten bei der Client-Authentifizierung? ====
  
 Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten: Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten:
Zeile 68: Zeile 78:
     Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, wie z.B. das O-Feld aus dem Subject-DN, mit auswerten. Hinweise für die Konfiguration von Client-Authentisierung finden Sie in dem Artikel aus den DFN-Mitteilungen „SSL-Authentisierung mit Nutzerzertifikaten“      Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, wie z.B. das O-Feld aus dem Subject-DN, mit auswerten. Hinweise für die Konfiguration von Client-Authentisierung finden Sie in dem Artikel aus den DFN-Mitteilungen „SSL-Authentisierung mit Nutzerzertifikaten“ 
  
-2.7 Wann soll ich umsteigen?+==== 2.7 Wann soll ich umsteigen? ====
  
 Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, die Sie Mitte 2019 zu bearbeiten haben werden. Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, die Sie Mitte 2019 zu bearbeiten haben werden.
-2.8 Wo finde ich weitere Informationen?+ 
 +==== 2.8 Wo finde ich weitere Informationen? ====
  
 Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de
Zeile 78: Zeile 89:
  
 blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/ blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/
-3. Antragsstellung + 
-3.1 Wie ist die URL der Antragsseiten?+===== FAQ Generation 2 - 3. Antragsstellung ===== 
 + 
 +==== 3.1 Wie ist die URL der Antragsseiten? ====
  
 Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter
  
--https://pki.pca.dfn.de/<CA-Kürzel>/pub-+%%-https://pki.pca.dfn.de/<CA-Kürzel>/pub-%%
  
-<CA-Kürzel>meint dabei Ihre Einrichtungsspezifische CA-Abkürzung, die auch Bestandteil der URLs der ersten Generation der DFN-PKI ist.+<CA-Kürzel> meint dabei Ihre Einrichtungsspezifische CA-Abkürzung, die auch Bestandteil der URLs der ersten Generation der DFN-PKI ist.
  
 Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL: Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL:
  
-'https://pki.pca.dfn.de/uni-pellworm-ca/pub'+%%'https://pki.pca.dfn.de/uni-pellworm-ca/pub'%%
  
 so ist Ihr Zugang für die zweite Generation: so ist Ihr Zugang für die zweite Generation:
  
-'https://pki.pca.dfn.de/uni-pellworm-ca-g2/pub'+%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/pub'%%
  
 Bitte beachten Sie: Andere Formen wie Bitte beachten Sie: Andere Formen wie
  
-'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki' funktionieren nicht! +%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki'%% funktionieren nicht! 
-4. Teilnehmerservice + 
-4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI?+===== FAQ Generation 2 - 4. Teilnehmerservice ===== 
 + 
 +==== 4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI? ====
  
 Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig. Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig.