Betrieb interner/lokaler CAs

Interne oder lokale PKIs sind wie die DFN-Verein Community PKI eine Variante von nicht im Browser bzw. Betriebssystem verankerten PKIs. Die Vor- und Nachteile sind umfassend in der Beschreibung der DFN-Verein Community PKI dargestellt.

Die DFN-Verein Community PKI bietet ein DFN-übergreifendes Vertrauensniveau und damit einen geregelten Rahmen. Dies führt zu einigen wenigen Einschränkungen: So können beispielweise keine Zertifikate für interne Namen („*.local“) ausgestellt werden. Mit einer lokalen oder internen CA bestehen diese Einschränkungen nicht mehr.

Allerdings haben Zertifikate aus einer frei definierten PKI ohne einen geregelten Rahmen möglicherweise eine zu geringe Aussagekraft. Vor dem Einsatz sollte daher eine sorgfältige Abwägung getroffen werden.

Eine selbst betriebene CA kann beispielsweise in einem Active Directory aufgebaut oder als Bestandteil von Konfigurationsmanagementsystemen umgesetzt werden. Die DFN-PCA kann aber auch auf Wunsch den technischen Betrieb von einrichtungsspezifischen internen CAs übernehmen, die dann mit den bekannten Werkzeugen und dem SOAP-API bedient werden können. Die Prozesse und weitere Parameter wie die Laufzeit können dabei frei gewählt werden.

Im Regelfall bietet sich allerdings die Nutzung der DFN-Verein Community PKI an, wenn Bedarf nach nicht im Browser oder Betriebssystem verankerten Zertifikaten besteht.