Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:faq:gen2 [2018/05/15 15:22] Heike Ausserfeldde:dfnpki:faq:gen2 [2018/05/15 15:59] Heike Ausserfeld
Zeile 42: Zeile 42:
  
 Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ssltest/ Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ssltest/
-2.3 Wo ist die „T-TeleSec GlobalRoot Class 2“ überall verankert?+ 
 +==== 2.3 Wo ist die „T-TeleSec GlobalRoot Class 2“ überall verankert? ====
  
 Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert. Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert.
Zeile 54: Zeile 55:
     Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!).     Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!).
  
-2.4 Was ist bei Serverzertifikaten in Bezug auf Android <= 4.4 zu beachten?+==== 2.4 Was ist bei Serverzertifikaten in Bezug auf Android <= 4.4 zu beachten? ====
  
 Android <= 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben. Android <= 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben.
Zeile 63: Zeile 64:
  
 Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, die im Juli 2019 ablaufen. Sie werden von der DFN-PKI nicht über den Ablauf dieser alternativen Zertifizierungskette gewarnt! Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, die im Juli 2019 ablaufen. Sie werden von der DFN-PKI nicht über den Ablauf dieser alternativen Zertifizierungskette gewarnt!
-2.5 Gibt es Besonderheiten im Umgang mit eduroam und RADIUS-Serverzertifikaten?+ 
 +==== 2.5 Gibt es Besonderheiten im Umgang mit eduroam und RADIUS-Serverzertifikaten? ====
  
 Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen. Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen.
  
 Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog. Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog.
-2.6 Gibt es Besonderheiten bei der Client-Authentifizierung?+ 
 +==== 2.6 Gibt es Besonderheiten bei der Client-Authentifizierung? ====
  
 Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten: Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten:
Zeile 75: Zeile 78:
     Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, wie z.B. das O-Feld aus dem Subject-DN, mit auswerten. Hinweise für die Konfiguration von Client-Authentisierung finden Sie in dem Artikel aus den DFN-Mitteilungen „SSL-Authentisierung mit Nutzerzertifikaten“      Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, wie z.B. das O-Feld aus dem Subject-DN, mit auswerten. Hinweise für die Konfiguration von Client-Authentisierung finden Sie in dem Artikel aus den DFN-Mitteilungen „SSL-Authentisierung mit Nutzerzertifikaten“ 
  
-2.7 Wann soll ich umsteigen?+==== 2.7 Wann soll ich umsteigen? ====
  
 Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, die Sie Mitte 2019 zu bearbeiten haben werden. Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, die Sie Mitte 2019 zu bearbeiten haben werden.
-2.8 Wo finde ich weitere Informationen?+ 
 +==== 2.8 Wo finde ich weitere Informationen? ====
  
 Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de
Zeile 85: Zeile 89:
  
 blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/ blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/
-3. Antragsstellung + 
-3.1 Wie ist die URL der Antragsseiten?+===== FAQ Generation 2 - 3. Antragsstellung ===== 
 + 
 +==== 3.1 Wie ist die URL der Antragsseiten? ====
  
 Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter
  
--https://pki.pca.dfn.de/<CA-Kürzel>/pub-+%%-https://pki.pca.dfn.de/<CA-Kürzel>/pub-%%
  
-<CA-Kürzel>meint dabei Ihre Einrichtungsspezifische CA-Abkürzung, die auch Bestandteil der URLs der ersten Generation der DFN-PKI ist.+<CA-Kürzel> meint dabei Ihre Einrichtungsspezifische CA-Abkürzung, die auch Bestandteil der URLs der ersten Generation der DFN-PKI ist.
  
 Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL: Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL:
  
-'https://pki.pca.dfn.de/uni-pellworm-ca/pub'+%%'https://pki.pca.dfn.de/uni-pellworm-ca/pub'%%
  
 so ist Ihr Zugang für die zweite Generation: so ist Ihr Zugang für die zweite Generation:
  
-'https://pki.pca.dfn.de/uni-pellworm-ca-g2/pub'+%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/pub'%%
  
 Bitte beachten Sie: Andere Formen wie Bitte beachten Sie: Andere Formen wie
  
-'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki' funktionieren nicht! +%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki'%% funktionieren nicht! 
-4. Teilnehmerservice + 
-4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI?+===== FAQ Generation 2 - 4. Teilnehmerservice ===== 
 + 
 +==== 4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI? ====
  
 Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig. Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig.