Robot Zertifikate
Robot Zertifikate sind in der DFN-PKI Grid Zertifikate für Client-Software, die zur Automatisierung von Aufgaben im Grid (Monitoring, Grid Portale etc.) genutzt wird und für die keine „normalen“ Nutzerzertifikate eingesetzt werden dürfen.
Der Vorteil von Robot Zertifikaten ist, dass sie zum einen für automatisierte Prozesse (ohne Interaktion mit dem Zertifikatnehmer) genutzt werden können und zum anderen nicht an eine bestimmte Person gebunden sein müssen, sondern auch von einer Personengruppe (z.B. Ressource-Administratoren) genutzt werden können.
Welche Besonderheiten gibt es bei Robot Zertifikaten?
Für Robot Zertifikate sind einige Besonderheiten zu beachten:
Zertifikatnehmer
Zertifikatnehmer eines Robot Zertifikats ist entweder
- eine Einzelperson, die für alle Aktivitäten des automatisierten Client (Robot) verantwortlich ist, oder
- eine dauerhaft etablierte Gruppe von Administratoren, die für alle Aktivitäten des automatisierten Client (Robot) verantwortlich ist.
Schlüsselerzeugung, -speicherung und -transport
- Private Schlüssel für Robot Zertifikate müssen entweder in einem Hardware-Krypto-Gerät (z.B. Smartcard) erzeugt und gespeichert werden oder auf einem entsprechend gesichertem System, zu dem nur der verantwortliche Zertifikatnehmer (s. Begrifferklärung Zertifikatnehmer) Zugang hat.
- Private Schlüssel von Robot Zertifikaten sollten während einer längeren Inaktivität nicht unverschlüsselt abgelegt und nicht unverschlüsselt im Netz übertragen werden.
- Private Schlüssel und Passwörter von Robot Zertifikaten dürfen in jeder Art von Netzwerk nicht im Klartext übertragen werden.
(Bestimmungen aus DFN-PKI Grid CPS 6.1.1, CP 4.5.1)
Zertifikatname
Das CN-Attribut im Zertifikatnamen von Robot Zertifikaten muss mit dem Schlüsselwort „Robot“ direkt gefolgt von einem Doppelpunkt oder Minuszeichen und einem Leerzeichen beginnen. Darauf folgen eine verständliche, bedeutungsvolle Beschreibung des automatisierten Clients, der Name des Zertifikatnehmers (s. Begrifferklärung Zertifikatnehmer) und deren (Gruppen-)E-Mail-Adresse. Die im Robot Zertifikat enthaltenen E-Mail-Adressen müssen dem Zertifikatnehmer gehören. Die Gesamtlänge des CN darf 64 Zeichen nicht überschreiten.
Beispiele für das CN-Attribut: Zertifikatnehmer ist eine Einzelperson:
CN=Robot- Job Upload Robot - Martin Mustermann
Zertifikatnehmer ist eine Gruppe:
CN=Robot: Sample Grid Portal - HRZ Portal Ops - portal-ops@dfn.de
oder
CN=Robot: Job Performance Mon - Monitoring Group - grid-ops@dfn.de
oder
CN=Robot- Job Performance Mon - Monitoring Group - grid-ops@dfn.de
Unbedingt beachten: Zwischen Robot und dem folgenden „:“ bzw „-“ darf kein Leerzeichen sein.
(Bestimmungen aus DFN-PKI Grid CPS 3.1.2c)
Alternativer Zertifikatname
Robot Zertifikate müssen immer mindestens einen alternativen Zertifikatnamen (SubjectAlternativeName, SaN) vom Typ „email“ beinhalten, in dem eine E-Mail-Adresse des Zertifikatnehmers aufgeführt wird. Wenn das CN-Attribut bereits eine E-Mail-Adresse enthält, sollte genau diese als E-Mail-Adresse im SaN übernommen werden.
In der DFN-PKI kann der SaN vom Typ email
erzeugt werden, indem im PKCS#10-Zertifikatrequest (CSR) beim Zertifikatnamen (subjectDN) das Attribut „emailAddress“ entsprechend angegeben wird.
(Bestimmungen aus DFN-PKI Grid CPS 7.1.2)
Zertifikatnutzung und Betrieb
- Auf E-Mails an die im Robot Zertifikat enthaltenen E-Mail-Adressen muss innerhalb eines Werktages reagiert werden.
- Computersysteme, auf denen private Schlüssel von Robot Zertifikaten gespeichert sind, müssen entsprechend gesichert sein und aktiv im Hinblick auf sicherheitsrelevante Vorkommnisse überwacht werden.
- Diese Computersysteme müssen in einem gesicherten Raum mit Zugangskontrolle untergebracht sein. Zugang darf nur autorisiertem Personal gewährt werden.
(Bestimmungen aus DFN-PKI Grid CP 4.5.1 und DFN-PKI Grid CPS 7.1.2)
Muss für Robot Zertifikate ein spezielles Profil gewählt werden?
Für Robot Zertifikate muss vom Zertifikatnehmer bzw. von der RA das Zertifikatprofil „Robot“ ausgewählt werden.