Sicherheitszertifikate

Um Authentizität und Integrität von über das Internet angebotenen IT-Diensten besser sicherzustellen, werden Sicherheitszertifikate für z.B. Webserver verwendet.  Zertifikate für Datenverarbeitungssysteme werden dabei innerhalb einer Public Key Infrastruktur (PKI) in einer „Beglaubigungshierarchie“ auf eine vertrauenswürdige Stammzertifizierungsstelle (Englisch certificate authority (CA) ) zurückgeführt.

Die Universität Erfurt hat sich der PKI des Deutschen Forschungsnetzes DFN-PKIangeschlossen und nutzt die Möglichkeit zum ausgelagerten technischen Betrieb der Zertifizierungsstelle „Universitaet Erfurt CA“ im Rahmen des Dienstes DFN-PKI.

Die, der Zertifizierungsstelle für organisatorische Aufgaben vorgelagerte, Registrierungsstelle wird durch das URMZ betrieben und muss sich an die Zertifizierungsrichtlinie der DFN-PKI halten (Erklärung zum Zertifizierungsbetrieb und zur eigenen Erklärung finden Sie hier).

Über diese Stelle können Zertifikate für Datenverarbeitungssysteme der Universität Erfurt sowie in begründeten Fällen auch Nutzerzertifikate ausgestellt werden.

Der Betrieb der Zertifizierungsstelle durch den DFN ist eine der Voraussetzungen für die Teilnahme an der DFN-PKI im Sicherheitsniveau „Global“. Vorteil dieses Sicherheitsniveaus ist die Zurückführung der  „Beglaubigungshierarchie“ auf die vertrauenswürdige Stammzertifizierungsstelle „T-TeleSec GlobalRoot Class 2“, welche bereits in mehreren Anzeigeprogrammen für Internetinhalte und Emailprogrammen hinterlegt ist. Auf vom URMZ administrierten IT-Systemen ist die Integration der entsprechenden vertrauenswürdige Stammzertifizierungsstelle Standard.

Wenn Sie Programme verwenden, bei denen die benötigte Stammzertifizierungsstelle noch nicht hinterlegt ist, haben Sie die Möglichkeit durch Import der Zertifikate der „Beglaubigungshierarchie“   Sicherheitswarnungen abzustellen.

Dazu verwenden Sie am besten die Webseite der Registrierungsstelle und importieren im Reiter CA nacheinander das Wurzelzertifikat , das „DFN-PCA“ Zertifikat und das „Universitaet Erfurt CA“ Zertifikat. Dazu muß das Wurzelzertifikat zumindest temporär akzeptiert werden, bis die Zertifikate importiert wurden. Damit  ungültige Zertifikate der „Universitaet Erfurt CA“ nicht mehr akzeptiert werden, sollten Sie die  Zertifikatssperrliste ebenfalls installieren.

Die Korrektheit der Zertifikate sollte durch Vergleich der Fingerprints überprüft werden.

Frank Becker
IT-Sicherheitsbeauftragter
(Universitätsrechen- und Medienzentrum)