Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:faq:gen2 [2018/05/15 15:22] – Heike Ausserfeld | de:dfnpki:faq:gen2 [2018/05/15 15:59] – Heike Ausserfeld | ||
---|---|---|---|
Zeile 42: | Zeile 42: | ||
Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ | Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ | ||
- | 2.3 Wo ist die „T-TeleSec GlobalRoot Class 2“ überall verankert? | + | |
+ | ==== 2.3 Wo ist die „T-TeleSec GlobalRoot Class 2“ überall verankert? | ||
Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert. | Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert. | ||
Zeile 54: | Zeile 55: | ||
Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!). | Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!). | ||
- | 2.4 Was ist bei Serverzertifikaten in Bezug auf Android <= 4.4 zu beachten? | + | ==== 2.4 Was ist bei Serverzertifikaten in Bezug auf Android <= 4.4 zu beachten? |
Android <= 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben. | Android <= 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben. | ||
Zeile 63: | Zeile 64: | ||
Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, | Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, | ||
- | 2.5 Gibt es Besonderheiten im Umgang mit eduroam und RADIUS-Serverzertifikaten? | + | |
+ | ==== 2.5 Gibt es Besonderheiten im Umgang mit eduroam und RADIUS-Serverzertifikaten? | ||
Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/ | Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/ | ||
Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog. | Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog. | ||
- | 2.6 Gibt es Besonderheiten bei der Client-Authentifizierung? | + | |
+ | ==== 2.6 Gibt es Besonderheiten bei der Client-Authentifizierung? | ||
Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten: | Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten: | ||
Zeile 75: | Zeile 78: | ||
Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, | Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, | ||
- | 2.7 Wann soll ich umsteigen? | + | ==== 2.7 Wann soll ich umsteigen? |
Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, | Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, | ||
- | 2.8 Wo finde ich weitere Informationen? | + | |
+ | ==== 2.8 Wo finde ich weitere Informationen? | ||
Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de | Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de | ||
Zeile 85: | Zeile 89: | ||
blog.pki.dfn.de/ | blog.pki.dfn.de/ | ||
- | 3. Antragsstellung | + | |
- | 3.1 Wie ist die URL der Antragsseiten? | + | ===== FAQ Generation 2 - 3. Antragsstellung |
+ | |||
+ | ==== 3.1 Wie ist die URL der Antragsseiten? | ||
Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter | Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter | ||
- | -https:// | + | %%-https:// |
- | < | + | < |
Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL: | Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL: | ||
- | ' | + | %%' |
so ist Ihr Zugang für die zweite Generation: | so ist Ihr Zugang für die zweite Generation: | ||
- | ' | + | %%' |
Bitte beachten Sie: Andere Formen wie | Bitte beachten Sie: Andere Formen wie | ||
- | ' | + | %%' |
- | 4. Teilnehmerservice | + | |
- | 4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI? | + | ===== FAQ Generation 2 - 4. Teilnehmerservice |
+ | |||
+ | ==== 4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI? | ||
Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig. | Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig. |