Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:faq:generation2 [2018/05/30 15:49] Heike Ausserfeldde:dfnpki:faq:generation2 [2018/05/31 14:46] Heike Ausserfeld
Zeile 1: Zeile 1:
 ~~NOTOC~~ ~~NOTOC~~
-===Fragen und Antworten zu Zertifikaten in der DFN-PKI - Generation 2===+=====FAQ Generation 2=====
  
 {{INLINETOC 3}} {{INLINETOC 3}}
Zeile 16: Zeile 16:
  
 Das Wurzelzertifikat „Deutsche Telekom Root CA 2“ der ersten Generation läuft im Juli 2019 ab und es gibt keine verlängerte Version dieses Zertifikats. Daher muss die DFN-PKI auf ein neues Wurzelzertifikat wechseln. Das Wurzelzertifikat „Deutsche Telekom Root CA 2“ der ersten Generation läuft im Juli 2019 ab und es gibt keine verlängerte Version dieses Zertifikats. Daher muss die DFN-PKI auf ein neues Wurzelzertifikat wechseln.
-1.3 Wie lange kann die zweite Generation der DFN-PKI genutzt werden?+ 
 +====1.3 Wie lange kann die zweite Generation der DFN-PKI genutzt werden?====
  
 Das Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ ist bis 2033 gültig. Das Intermediate-Zertifikat für die DFN-PCA hat eine Laufzeit bis Februar 2031. Das Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ ist bis 2033 gültig. Das Intermediate-Zertifikat für die DFN-PCA hat eine Laufzeit bis Februar 2031.
Zeile 26: Zeile 27:
 Die erste Generation der DFN-PKI wird bis zum Laufzeitende des Wurzelzertifikats im Juli 2019 weiter betrieben. Die ausgestellten Zertifikate bleiben unverändert bis zu deren Ablauf bzw. Sperrung gültig, sofern dem nicht neue Anforderungen von Browser- oder Betriebssystemherstellern entgegenstehen. Die erste Generation der DFN-PKI wird bis zum Laufzeitende des Wurzelzertifikats im Juli 2019 weiter betrieben. Die ausgestellten Zertifikate bleiben unverändert bis zu deren Ablauf bzw. Sperrung gültig, sofern dem nicht neue Anforderungen von Browser- oder Betriebssystemherstellern entgegenstehen.
  
-===2. Umstieg===+====2. Umstieg====
 ====2.1 Wie stelle ich auf die zweite Generation der DFN-PKI um?==== ====2.1 Wie stelle ich auf die zweite Generation der DFN-PKI um?====
  
Zeile 33: Zeile 34:
 Der Umstieg ist üblicherweise völlig problemlos. Allerdings sollten Sie bei folgenden Anwendungen vorab prüfen, ob nicht weitere Umkonfigurationen notwendig sind: Der Umstieg ist üblicherweise völlig problemlos. Allerdings sollten Sie bei folgenden Anwendungen vorab prüfen, ob nicht weitere Umkonfigurationen notwendig sind:
  
-    Server-Zertifikate, die noch von vielen Android 4.4-Nutzern verwendet werden +   Server-Zertifikate, die noch von vielen Android 4.4-Nutzern verwendet werden 
-    Das Zertifikat Ihres eduroam-RADIUS-Servers +   * Das Zertifikat Ihres eduroam-RADIUS-Servers 
-    Server, die eine Authentisierung mittels Nutzerzertifikaten verlangen+   * Server, die eine Authentisierung mittels Nutzerzertifikaten verlangen
  
 Diese Anwendungen werden in dieser FAQ weiter unten beschrieben. Diese Anwendungen werden in dieser FAQ weiter unten beschrieben.
Zeile 71: Zeile 72:
 Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen. Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen.
  
-Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog.+Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem [[https://blog.pki.dfn.de/2017/10/eduroam-und-radius-serverzertifikate-aus-der-neuen-dfn-pki-generation-2/|Beitrag]] in unserem Blog.
  
 ====2.6 Gibt es Besonderheiten bei der Client-Authentifizierung?==== ====2.6 Gibt es Besonderheiten bei der Client-Authentifizierung?====
Zeile 86: Zeile 87:
 ====2.8 Wo finde ich weitere Informationen?==== ====2.8 Wo finde ich weitere Informationen?====
  
-Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de+Weitere Informationen veröffentlichen wir unter [[https://blog.pki.dfn.de|blog.pki.dfn.de]]
  
 Einführung der neuen Generation der DFN-PKI Einführung der neuen Generation der DFN-PKI
  
-blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/ +[[https://blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/|blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/]] 
-===3. Antragsstellung===+====3. Antragsstellung====
 ====3.1 Wie ist die URL der Antragsseiten?==== ====3.1 Wie ist die URL der Antragsseiten?====
  
Zeile 110: Zeile 111:
 Bitte beachten Sie: Andere Formen wie Bitte beachten Sie: Andere Formen wie
  
-%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki' funktionieren nicht!%%+%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki'%% funktionieren **nicht**!
  
-===4. Teilnehmerservice===+====4. Teilnehmerservice====
 ====4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI?==== ====4.1 Wie genehmige ich die Anträge aus der zweiten Generation der DFN-PKI?====
  
Zeile 158: Zeile 159:
 ====4.9 Wie muss der Schulungsbogen erstellt werden?==== ====4.9 Wie muss der Schulungsbogen erstellt werden?====
  
-Der einmal jährlich auszufüllende Schulungsbogen (siehe Kapitel 3.5 von „Aufgaben des Teilnehmerservice“ ) muss über die Funktion „TS-Schulungsnachweis erstellen“ der Java RA-Oberfläche erzeugt und ausgedruckt werden.+Der einmal jährlich auszufüllende Schulungsbogen (siehe Kapitel 3.5 von [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|„Aufgaben des Teilnehmerservice“]]) muss über die Funktion „TS-Schulungsnachweis erstellen“ der Java RA-Oberfläche erzeugt und ausgedruckt werden.
  
-Um alle TS-Mitarbeiter zu erfassen, müssen Sie den Bogen sowohl unter Ihrem Zugang zur ersten Generation als auch unter Ihrem Zugang zur zweiten Generation der DFN-PKI erstellen (letzteres nur, wenn Sie dort auch TS-Mitarbeiter aufgelistet sehen; siehe hierzu auch Punkt 4.6).+Um alle TS-Mitarbeiter zu erfassen, müssen Sie den Bogen sowohl unter Ihrem Zugang zur ersten Generation als auch unter Ihrem Zugang zur zweiten Generation der DFN-PKI erstellen (letzteres nur, wenn Sie dort auch TS-Mitarbeiter aufgelistet sehen; siehe hierzu auch [[de:dfnpki:faq:generation2#warum_sind_keine_ts-mitarbeiter_in_der_„dfn-ca-global-g2_aufgelistet|Punkt 4.6]]).
  
 ====4.10 Welche Domains sind für Zertifikate freigeschaltet?==== ====4.10 Welche Domains sind für Zertifikate freigeschaltet?====