Dies ist eine alte Version des Dokuments!
<html> <head>
<title>DFN-PKI: FAQ Grid Zertifikate</title> <body>
<div id="kopf-bild" href="https://www.dfn.de/"> </div> <div id="kopf-logo"> </div> <div id="kopf-menue"> <div id="kopf-menue-pfad"> <a href="ueberblick-dfn-pki/" target="_top">Home</a> | <a href="faqpki/" target="_top">FAQ DFN-PKI</a> | <a href="faqpki/faqpki-grid/" target="_top">FAQ Grid Zertifikate</a></div> </div>
<div id="menue-links"><div class="menue-links-sektion"><div class="menue-links1"><a href="ueberblick-dfn-pki/" target="_top">Überblick DFN-PKI</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="die-cas-im-dfn/" target="_top">Die CAs im DFN</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="grid/" target="_top">Grid Zertifikate</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="dfn-aai-zertifikate/" target="_top">DFN-AAI Zertifikate</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="zeitstempeldienst/" target="_top">Zeitstempeldienst</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="policies/" target="_top">Policies</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="wurzelzertifikate/" target="_top">Wurzelzertifikate</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="crl/" target="_top">Validierungsdienste (CRL und OCSP)</a></div></div><div class="menue-links-sektion"><div class="menue-links1-aktiv"><a href="faqpki/" target="_top">FAQ DFN-PKI</a></div><div class="menue-links2"><a href="faqpki/faqpki-allgemein/" target="_top">FAQ Allgemein</a></div><div class="menue-links2"><a href="faqpki/faq-generation-2/" target="_top">FAQ Generation 2</a></div><div class="menue-links2"><a href="faqpki/faqpki-tsbetrieb/" target="_top">FAQ TS-Betrieb</a></div><div class="menue-links2"><a href="faqpki/faqpki-mozilla/" target="_top">FAQ Mozilla</a></div><div class="menue-links2"><a href="faqpki/faq-caa/" target="_top">FAQ CAA</a></div><div class="menue-links2"><a href="faqpki/faqpki-windows/" target="_top">FAQ Windows/IE</a></div><div class="menue-links2"><a href="faqpki/faqpki-software/" target="_top">FAQ Weitere Software</a></div><div class="menue-links2"><a href="faqpki/faqpki-codesigning0/" target="_top">FAQ Code-Signing</a></div><div class="menue-links2"><a href="faqpki/faq-umstellung-sha-2/" target="_top">FAQ Umstellung SHA-2</a></div><div class="menue-links2-aktiv"><a href="faqpki/faqpki-grid/" target="_top">FAQ Grid Zertifikate</a></div><div class="menue-links2"><a href="faqpki/faqpki-aai/" target="_top">FAQ DFN-AAI</a></div><div class="menue-links2"><a href="faqpki/faq-zeitstempel/" target="_top">FAQ Zeitstempel</a></div><div class="menue-links2"><a href="faqpki/emailvalidierung/" target="_top">FAQ E-Mail-Adressen</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="pkikontakt/" target="_top">Kontakt und Support</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="https://blog.pki.dfn.de/" target="_top">DFN-PKI Blog</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="http://www.dfn.de" target="_top">DFN-Verein</a></div></div><div class="menue-links-sektion"><div class="menue-links1"><a href="disclaimer/" target="_top">Disclaimer</a></div></div></div> <div id="news"></div>
<div id="menue-rechts"><div id="searchfield" class="menue-rechts-sektion"><form action="suche/" method="post" name="searchform" id="searchForm"><input name="tx_indexedsearch[sword]" value="" class="searchbox-sword" type="text" size="8" maxlength="50" id="suchefeld" /> <input type="hidden" name="tx_indexedsearch[sections]" value="0" /><input type="hidden" name="tx_indexedsearch[pointer]" value="0" /><input type="hidden" name="tx_indexedsearch[ext]" value="0" /><input id="suchebutton" alt="Suche" type="image" src="/fileadmin/template/search.png" name="tx_indexedsearch[submit_button]" value=""/></form></div><div class="menue-rechts-sektion"><a href="impressum/" target="_top">Impressum</a></div><div class="menue-rechts-sektion"><a href="datenschutz/" target="_top">Datenschutz</a></div></div>
<div id="news-rechts">Derzeit keine.</div>
<div> <div class="doc-header"><h1>FAQ Grid Zertifikate</h1></div> </div> <!--TYPO3SEARCH_begin--> <div id="content"> <!-- CONTENT ELEMENT, uid:15206/text [begin] --> <a name="c15206"></a><div id="c15206" class="csc-default"> <!-- Text: [begin] --> <ol><li><a href="faqpki/faqpki-grid/#c15205" title="Opens internal link in current window" class="internal-link">Welche Besonderheiten gibt es bei Robot Zertifikaten?</a></li><li><a href="faqpki/faqpki-grid/#c15204" title="Opens internal link in current window" class="internal-link">Muss für Robot Zertifikate ein spezielles Profil gewählt werden?</a></li></ol> <!-- Text: [end] --> </div> <!-- CONTENT ELEMENT, uid:15206/text [end] --> <!-- CONTENT ELEMENT, uid:15205/text [begin] --> <a name="c15205"></a><div id="c15205" class="csc-default"> <!-- Header: [begin] --> <div class="csc-header csc-header-n2"><h1>1. Welche Besonderheiten gibt es bei Robot Zertifikaten?</h1></div> <!-- Header: [end] --> <!-- Text: [begin] --> <p class="bodytext">Für Robot Zertifikate sind einige Besonderheiten zu beachten:</p><ul><p class="bodytext"><li><b>Begriffserklärung Zertifikatnehmer:</b><br />Zertifikatnehmer<b> </b>eines Robot Zertifikats ist entweder </p><ul><li>eine Einzelperson, die für alle Aktivitäten des automatisierten Client (Robot) verantwortlich ist, oder</li><li>eine dauerhaft etablierte Gruppe von Administratoren, die für alle Aktivitäten des automatisierten Client (Robot) verantwortlich ist.</li></ul><p class="bodytext"></li></p></ul><ul><p class="bodytext"><li><b>Schlüsselerzeugung, -speicherung und -transport (</b><b>DFN-PKI Grid </b><b>CPS 6.1.1, CP 4.5.1):</b> <br />Private Schlüssel für Robot Zertifikate müssen entweder in einem Hardware-Krypto-Gerät (z.B. Smartcard) erzeugt und gespeichert werden oder auf einem entsprechend gesichertem System, zu dem nur der verantwortliche Zertifikatnehmer (s. Begrifferklärung Zertifikatnehmer) Zugang hat. Private Schlüssel von Robot Zertifikaten sollten während einer längeren Inaktivität nicht unverschlüsselt abgelegt und nicht unverschlüsselt im Netz übertragen werden. Private Schlüssel und Passwörter von Robot Zertifikaten dürfen in jeder Art von Netzwerk nicht im Klartext übertragen werden.<br /><br /></li><li><b>Zertifikatname (DFN-PKI Grid CPS 3.1.2c):</b> <br />Das CN-Attribut im Zertifikatnamen von Robot Zertifikaten muss mit dem Schlüsselwort "Robot" direkt gefolgt von einem Doppelpunkt oder Minuszeichen und einem Leerzeichen beginnen. Darauf folgen eine verständliche, bedeutungsvolle Beschreibung des automatisierten Clients, der Name des Zertifikatnehmers (s. Begrifferklärung Zertifikatnehmer) und deren (Gruppen-)E-Mail-Adresse. Die im Robot Zertifikat enthaltenen E-Mail-Adressen müssen dem Zertifikatnehmer gehören. Die Gesamtlänge des CN darf 64 Zeichen nicht überschreiten.<br />Beispiele für das CN-Attribut:</p><ul><li><b>Zertifikatnehmer ist eine Einzelperson:</b><br />CN=<i>Robot- Job Upload Robot - Martin Mustermann<br /></i></li><li><b>Zertifikatnehmer ist eine Gruppe:</b><br />CN=<i>Robot: Sample Grid Portal - HRZ Portal Ops - portal-ops@dfn.de</i><br />oder<br />CN=<i>Robot: Job Performance Mon - Monitoring Group - grid-ops@dfn.de<br /></i>oder<br />CN=<i>Robot- Job Performance Mon - Monitoring Group - grid-ops@dfn.de</i></li></ul><p class="bodytext">Unbedingt beachten: Zwischen <i>Robot</i> und dem folgenden ":" bzw "-" darf kein Leerzeichen sein.</li></p></ul><ul><li><b>Alternativer Zertifikatname (DFN-PKI Grid CPS 7.1.2):</b><br />Robot Zertifikate müssen immer mindestens einen alternativen Zertifikatnamen (SubjectAlternativeName, SaN) vom Typ "email" beinhalten, in dem eine E-Mail-Adresse des Zertifikatnehmers aufgeführt wird. Wenn das CN-Attribut bereits eine E-Mail-Adresse enthält, sollte genau diese als E-Mail-Adresse im SaN übernommen werden.<br />In der DFN-PKI kann der SaN vom Typ "email" erzeugt werden, indem im PKCS#10-Zertifikatrequest (CSR) beim Zertifikatnamen (subjectDN) das Attribut "emailAddress" entsprechend angegeben wird.<br /><br /></li><li><b>Zertifikatnutzung (</b><b>DFN-PKI Grid </b><b>CP 4.5.1) und Betrieb der automatisierten Komponente (</b><b>DFN-PKI Grid </b><b>CPS 7.1.2):</b> <br />Auf E-Mails an die im Robot Zertifikat enthaltenen E-Mail-Adressen muss innerhalb eines Werktages reagiert werden. Computersysteme, auf denen private Schlüssel von Robot Zertifikaten gespeichert sind, müssen entsprechend gesichert sein und aktiv im Hinblick auf sicherheitsrelevante Vorkommnisse überwacht werden. Diese Computersysteme müssen in einem gesicherten Raum mit Zugangskontrolle untergebracht sein. Zugang darf nur autorisiertem Personal gewährt werden.</li></ul>
</body> </html>
- Zuletzt geändert: vor 6 Jahren