Sicherheitszertifikate

Um Authentizität und Integrität von über das Internet angebotenen IT-Diensten besser sicherzustellen, werden Sicherheitszertifikate für z.B. Webserver verwendet.  Zertifikate für Datenverarbeitungssysteme werden dabei innerhalb einer Public Key Infrastruktur (PKI) in einer „Beglaubigungshierarchie“ auf eine vertrauenswürdige Stammzertifizierungsstelle (Englisch certificate authority (CA) ) zurückgeführt.

Die Universität Erfurt hat sich der PKI des Deutschen Forschungsnetzes DFN-PKIangeschlossen und nutzt die Möglichkeit zum ausgelagerten technischen Betrieb der Zertifizierungsstelle „Universitaet Erfurt CA“ im Rahmen des Dienstes DFN-PKI.

Die, der Zertifizierungsstelle für organisatorische Aufgaben vorgelagerte, Registrierungsstelle wird durch das URMZ betrieben und muss sich an die Zertifizierungsrichtlinie der DFN-PKI halten (Erklärung zum Zertifizierungsbetrieb und zur eigenen Erklärung finden Sie hier).

Über diese Stelle können Zertifikate für Datenverarbeitungssysteme der Universität Erfurt sowie in begründeten Fällen auch Nutzerzertifikate ausgestellt werden.

Der Betrieb der Zertifizierungsstelle durch den DFN ist eine der Voraussetzungen für die Teilnahme an der DFN-PKI im Sicherheitsniveau „Global“. Vorteil dieses Sicherheitsniveaus ist die Zurückführung der  „Beglaubigungshierarchie“ auf die vertrauenswürdige Stammzertifizierungsstelle „T-TeleSec GlobalRoot Class 2“, welche bereits in mehreren Anzeigeprogrammen für Internetinhalte und Emailprogrammen hinterlegt ist. Auf vom URMZ administrierten IT-Systemen ist die Integration der entsprechenden vertrauenswürdige Stammzertifizierungsstelle Standard.

Wenn Sie Programme verwenden, bei denen die benötigte Stammzertifizierungsstelle noch nicht hinterlegt ist, haben Sie die Möglichkeit durch Import der Zertifikate der „Beglaubigungshierarchie“   Sicherheitswarnungen abzustellen.

Dazu verwenden Sie am besten die Webseite der Registrierungsstelle und importieren im Reiter CA nacheinander das Wurzelzertifikat , das „DFN-PCA“ Zertifikat und das „Universitaet Erfurt CA“ Zertifikat. Dazu muß das Wurzelzertifikat zumindest temporär akzeptiert werden, bis die Zertifikate importiert wurden. Damit  ungültige Zertifikate der „Universitaet Erfurt CA“ nicht mehr akzeptiert werden, sollten Sie die  Zertifikatssperrliste ebenfalls installieren.

Die Korrektheit der Zertifikate sollte durch Vergleich der Fingerprints überprüft werden.

Nutzerzertifikate

Sollten Sie Interesse an einem Nutzerzertifikat haben wenden Sie sich bitte an den zuständigen Mitarbeiter!

Nutzerzertifikate können eingesetzt werden, um eigene E-Mails zu unterschreiben und zu verschlüsseln. Dazu werden private und öffentliche Schlüssel mit Zertifikaten nach X.509-Standard verwendet. Zum Signieren der E-Mail wird der eigene private Schlüssel und für das Verschlüsseln der öffentliche Schlüssel des Empfängers verwendet. Wenn schon eine Kommunikation besteht, kann der öffentliche Schlüssel des Kommunikationspartners durch Übenahme seiner Mailadresse in das Adressbuch gespeichert und verwendet werden. Wenn keine Kommunikation vorher stattgefunden hat, muss der Empfänger einer verschlüsselten E-Mail seinen öffentlichen Schlüssel bereitstellen, entweder zum Download oder veröffentlicht in einem Verzeichnis (ldap.pca.dfn.de ). Die Gültigkeit des Nutzerzertifikats beträgt 3 Jahre, d.h. dann muss ein neuer Antrag gestellt werden.

Erforderliche Schritte für den Einsatz von Nutzerzertifikaten:

  1. Stellen Sie einen formlosen Antrag per Mail an frank.becker@uni-erfurt.de
  2. Folgen Sie den Anweisung in der Einladungsmail
  3.  zugeschicktes Zertifikat im Windows bzw. Mailprogramm installieren (z.B. in Outlook unter Datei/Optionen/Trust Center/Einstellungen/E-Mail-Sicherheit/Standardeinstellungen), privaten Schlüssel sicher verwahren (nicht in frei zugänglichen Verzeichnissen)
Frank Becker
IT-Sicherheitsbeauftragter
(Universitätsrechen- und Medienzentrum)
Kommunikations- und Informationszentrum (KIZ)