Während die erste Generation der DFN-PKI, die seit 2007 in Betrieb ist, mit dem Wurzelzertifikat „Deutsche Telekom Root CA 2“ in den Betriebssystemen und Browsern verankert ist, verwendet die zweite Generation die „T-TeleSec GobalRoot Class 2“:

Wurzelzertifikate Global (Generation 2): www.pki.dfn.de/root/globalroot2/

Ein weiterer Unterschied: In der ersten Generation haben die meisten Einrichtungen eine eigene, echte Sub-CA mit einem eigenen einrichtungsspezifischen Sub-CA-Zertifikat in der Zertifizierungshierarchie erhalten. Dagegen werden in der zweiten Generation der DFN-PKI die Zertifikate üblicherweise in der dfn-ca-global-g2 mit dem Sub-CA-Zertifikat „DFN-Verein Global Issuing CA“ ausgestellt.

Das Wurzelzertifikat „Deutsche Telekom Root CA 2“ der ersten Generation läuft im Juli 2019 ab und es gibt keine verlängerte Version dieses Zertifikats. Daher muss die DFN-PKI auf ein neues Wurzelzertifikat wechseln.

Das Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ ist bis 2033 gültig. Das Intermediate-Zertifikat für die DFN-PCA hat eine Laufzeit bis Februar 2031.

Wurzelzertifikate Global (Generation 2): www.pki.dfn.de/root/globalroot2/

Die erste Generation der DFN-PKI wird bis zum Laufzeitende des Wurzelzertifikats im Juli 2019 weiter betrieben. Die ausgestellten Zertifikate bleiben unverändert bis zu deren Ablauf bzw. Sperrung gültig, sofern dem nicht neue Anforderungen von Browser- oder Betriebssystemherstellern entgegenstehen.

Sie können die zweite Generation der DFN-PKI sofort nutzen, indem Sie Zertifikatanträge über die neue URL stellen lassen (siehe Abschnitt „Antragsstellung“) und in Ihrem neuen Teilnehmerservice-Zugang (siehe Abschnitt „Teilnehmerservice“) genehmigen.

Der Umstieg ist üblicherweise völlig problemlos. Allerdings sollten Sie bei folgenden Anwendungen vorab prüfen, ob nicht weitere Umkonfigurationen notwendig sind:

  Server-Zertifikate, die noch von vielen Android 4.4-Nutzern verwendet werden
  Das Zertifikat Ihres eduroam-RADIUS-Servers
  Server, die eine Authentisierung mittels Nutzerzertifikaten verlangen

Diese Anwendungen werden in dieser FAQ weiter unten beschrieben.

Der Zertifikatinhaber, egal ob Nutzer oder Serveradministrator, muss in jedem Fall auch die neue Zertifizierungskette in seine Software importieren. Die neue Zertifizierungskette findet sich auf den Antragsseiten unter „CA-Zertifikate“.

Um die Konfiguration des Servers zu prüfen, empfehlen wir Testwerkzeuge wie den Server-Test von SSLLabs: www.ssllabs.com/ssltest/

Das Wurzelzertifikat der zweiten Generation der DFN-PKI ist in allen aktuellen Betriebssystemen und Browsern verankert.

Hinweis, wenn Sie im Zertifikatspeicher von Microsoft Windows die T-TeleSec GlobalRoot Class 2 nicht sofort finden: Aktuelle Windows-Systeme laden das Wurzelzertifikat bei Bedarf automatisch von Microsoft-Servern nach, sofern es noch nicht auf dem System vorliegt, siehe www.pki.dfn.de/faqpki/faqpki-windows/.

Die folgenden Einschränkungen sind zu beachten:

  Für Microsoft CodeSigning ist das neue Wurzelzertifikat, wie die „Deutsche Telekom Root CA 2“ auch, nicht freigeschaltet.
  Das neue Wurzelzertifikat ist, wie die „Deutsche Telekom Root CA 2“ auch, nicht in der Adobe Trust List enthalten. Das Wurzelzertifikat muss also in Adobe Acrobat manuell freigeschaltet werden.
  Die „T-TeleSec GlobalRoot Class 2” ist nicht in Android <= 4.4 enthalten. Für Anwender, die zwingend Kompatibilität mit Android <= 4.4 benötigen, steht ein Cross-Zertifikat zur „Deutsche Telekom Root CA 2“ zur Verfügung (Laufzeitende Juli 2019!).

Android ⇐ 4.4 enthält nicht das Wurzelzertifikat der zweiten Generation der DFN-PKI, die „T-TeleSec GlobalRoot Class 2”. Diese (veralteten und unsicheren) Clients werden also beim Zugriff auf Web- oder andere Server mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung geben.

Sollte der Zugriff für diese veralteten Clients unbedingt notwendig sein, können Sie eine alternative Zertifizierungskette aufbauen, die aus dem alten Wurzelzertifikat „Deutsche Telekom Root CA 2“, einem Cross-Zertifikat „ GlobalRoot Class 2“ und dann den restlichen Sub-CAs besteht. Diese alternative Zertifizierungskette müssen Sie von Ihrem Server an die Clients ausliefern lassen.

Das „T-TeleSec GlobalRoot Class 2” Cross-Zertifikat erhalten Sie auf Anfrage an dfnpca@dfn-cert.de .

Vorsicht: Die ausgestellten Serverzertifikate laufen stets länger als diese Root- und Cross-Zertifikate aus dieser alternativen Zertifizierungskette, die im Juli 2019 ablaufen. Sie werden von der DFN-PKI nicht über den Ablauf dieser alternativen Zertifizierungskette gewarnt!

Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen.

Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog.

Wenn Sie Nutzerzertifikate für Client-Authentifizierung verwenden, müssen Sie die folgenden Punkte bei einem Umstieg auf die zweite Generation der DFN-PKI beachten:

  Ihr Server muss zusätzlich die neue Zertifizierungshierarchie akzeptieren
  Da die Nutzerzertifikate in der Regel von der Sub-CA „DFN-Verein Global Issuing CA“ ausgestellt werden, in der auch Zertifikate anderer Einrichtungen liegen, dürfen Sie auf keinen Fall ausschließlich auf die ausstellende CA prüfen. Sie müssen stets weitere Parameter des Nutzerzertifikates, wie z.B. das O-Feld aus dem Subject-DN, mit auswerten. Hinweise für die Konfiguration von Client-Authentisierung finden Sie in dem Artikel aus den DFN-Mitteilungen „SSL-Authentisierung mit Nutzerzertifikaten“ 

Wir raten Ihnen zu einem möglichst frühen Umstieg, da aktuell in der ersten Generation der DFN-PKI wegen des Ablaufdatums des Wurzelzertifikats „Deutsche Telekom Root CA 2“ alle Zertifikate mit einem festen Laufzeitende Mitte 2019 ausgestellt werden. Je länger Sie mit dem Umstieg warten, desto höher wird der Berg an ablaufenden Zertifikaten, die Sie Mitte 2019 zu bearbeiten haben werden.

Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de

Einführung der neuen Generation der DFN-PKI

blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/

Wenn Sie bereits einen Zugang zur ersten Generation der DFN-PKI haben, so finden Sie Ihren Zugang zur zweiten Generation in aller Regel unter

-https://pki.pca.dfn.de/<CA-Kürzel>/pub-

<CA-Kürzel> meint dabei Ihre Einrichtungsspezifische CA-Abkürzung, die auch Bestandteil der URLs der ersten Generation der DFN-PKI ist.

Beispiel: Haben Sie einen bestehenden Zugang mit der folgenden URL:

'https://pki.pca.dfn.de/uni-pellworm-ca/pub'

so ist Ihr Zugang für die zweite Generation:

'https://pki.pca.dfn.de/uni-pellworm-ca-g2/pub'

Bitte beachten Sie: Andere Formen wie

'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki' funktionieren nicht!

Ihre TS-Mitarbeiter-Zertifikate aus der ersten Generation der DFN-PKI sind bis zu deren Ablauf oder Sperrung auch für Ihren Zugang in der zweiten Generation der DFN-PKI gültig.

Die Java RA-Oberfläche stellt Ihnen automatisch den RA-Zugang zur zweiten Generation zur Verfügung. Sie können darauf über das zweite Häuschen „dfn-ca-global-g2“ zugreifen.

Für komplexere Konfigurationen der Java RA-Oberfläche mit mehreren unterschiedlichen TS-Mitarbeiter-Zertifikaten müssen Sie diese zusätzlichen TS-Mitarbeiter-Zertifikate allerdings manuell über „Datei→Neue CA…“ hinzufügen.

Die Web-RA-Oberfläche steht Ihnen mit den bekannten Einschränkungen zurzeit noch unter der folgenden URL zur Verfügung:

https://ra.pca.dfn.de/dfn-ca-global-g2/ra 4.2 Was ist das Häuschen „dfn-ca-global-g2“ in der Java RA-Oberfläche?

Wenn Sie in der Java RA-Oberfläche einen Zugang zur ersten Generation der DFN-PKI haben, erstellt die Software Ihnen automatisch einen RA-Zugang für die zweite Generation unter der „dfn-ca-global-g2“. 4.3 Wie unterscheide ich Anträge aus der ersten und der zweiten Generation der DFN-PKI?

In der Fußzeile der Zertifikatanträge ist rechts die CA und die RA angegeben. Die zweite Generation der DFN-PKI ist in der Regel als „dfn-ca-global-g2“ dargestellt. 4.4 Können Anträge zwischen der ersten und der zweiten Generation hin- und herkopiert werden?

Diese Funktion ist leider zurzeit nicht verfügbar. 4.5 Können Zertifikatanträge aus der ersten Generation in die zweite Generation hinein erneuert werden?

Diese Funktion ist leider zurzeit nicht verfügbar. In der Regel empfehlen wir eine Neu-Beantragung mit neuem Schlüssel. 4.6 Warum sind keine TS-Mitarbeiter in der „dfn-ca-global-g2“ aufgelistet?

Bei der Einrichtung Ihres Zugangs wurde, sofern Sie bereits einen Zugang zur ersten Generation der DFN-PKI besitzen, eine „Verlinkung“ aus der ersten in die zweite Generation hergestellt. Damit sind alle TS-Mitarbeiter-Zertifikate aus der ersten auch in der zweiten Generation gültig und verwendbar. Aufgelistet werden die TS-Mitarbeiter-Zertifikate ausschließlich in ihrer ausstellenden CA. Damit ist die Liste in der dfn-ca-global-g2 gegebenenfalls leer. Dies ist ein erwartetes Verhalten der Software. 4.7 Müssen TS-Mitarbeiter erneut benannt werden?

Nein. Es sind keine weiteren Formulare für TS-MA-Benennungen für bereits benannte TS-Mitarbeiter notwendig. Die Benennungen aus der ersten Generation übertragen wir automatisch. 4.8 Müssen TS-Mitarbeiter-Zertifikate erneut ausgestellt werden?

Nein. Die bestehenden TS-Mitarbeiter-Zertifikate behalten ihre Gültigkeit und können auch in der zweiten Generation der DFN-PKI verwendet werden.

Wir empfehlen, solange mit TS-Mitarbeiter-Zertifikaten aus der ersten Generation zu arbeiten, wie es dort noch gültige, eventuell zu sperrende Zertifikate gibt. 4.9 Wie muss der Schulungsbogen erstellt werden?

Der einmal jährlich auszufüllende Schulungsbogen (siehe Kapitel 3.5 von „Aufgaben des Teilnehmerservice“ ) muss über die Funktion „TS-Schulungsnachweis erstellen“ der Java RA-Oberfläche erzeugt und ausgedruckt werden.

Um alle TS-Mitarbeiter zu erfassen, müssen Sie den Bogen sowohl unter Ihrem Zugang zur ersten Generation als auch unter Ihrem Zugang zur zweiten Generation der DFN-PKI erstellen (letzteres nur, wenn Sie dort auch TS-Mitarbeiter aufgelistet sehen; siehe hierzu auch Punkt 4.6). 4.10 Welche Domains sind für Zertifikate freigeschaltet?

Domains müssen unter der jeweiligen Generation der DFN-PKI freigeschaltet werden, unter der dann auch die Zertifikate erstellt werden sollen. Bestehende freigeschaltete Domains zum Umstellungsstichtag Ende Oktober 2016 wurden automatisch in die zweite Generation der DFN-PKI übernommen. Danach sind beide Listen unabhängig voneinander zu pflegen.