Für eine korrekte Darstellung dieser Seite benötigen Sie einen XHTML-standardkonformen Browser, der die Darstellung von CSS-Dateien zulässt.

..
Suche
Erweiterte Suche

Personensuche
Veranstaltungssuche
Katalog der UB Siegen

PKI - Digitale Signatur, Verschlüsselung und Zertifikate

Vorbemerkung

Die PKI der Uni-Siegen befindet sich z.Zt. noch im Probe- bzw Testbetrieb um weitreichende Erfahrungen mit einer komplexen PKI-Umgebung zu sammeln. Die technischen Voraussetzungen und die Implementierung der Sicherheit entsprechen aber schon dem für einen Echtbetrieb notwendigen Standard.

Grundlagen

Zertifikate dienen in der elektronischen Welt zur eindeutigen Identifizierung von Personen oder Servern. Mit PKI (Public-Key-Infrastruktur) bezeichnet man in der Kryptographie und Kryptologie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Es wird bei der PKI der Uni-Siegen zwischen einem User- und einem Server-Zertifikat unterschieden. Das User-Zertifikat dient zur eindeutigen Authentifizierung einer Person, das Server-Zertifikat zur Identifizierung eines Servers. Alle Uni-Siegen-Zertifikate werden von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) herausgegeben (signiert). Die Bearbeitung vor Ort (z.B. Prüfung der Identitäten durch den Personalausweis) wird von einer lokalen Registrierungsstelle (Registration Authority, RA) übernommen. Mit Hilfe von User-Zertifikaten ist es möglich, Dateien oder Nachrichten zu signieren, die Urheberschaft eines signierten Dokumentes eindeutig zu identifizieren, auf Veränderung während der Übertragung zu prüfen oder Daten zu verschlüsseln. Beim Server-Zertifikat kann sichergestellt werden, dass ich mit dem richtigen Server verbunden bin (z.B. bei SSL-Verbindungen).

Beantragen eines Zertifikates der Uni-Siegen

Die Antragstellung ist analog zur Antragstellung eines Personalausweises. Auf den Seiten der Uni-Siegen CA können Sie Zertifikate beantragen. Mit dem vollständig ausfüllten Antragsformular und einem Personalausweis müssen Sie sich einmalig zur Überprüfung der Identitäten bei einem Mitarbeiter oder einer Mitarbeiterin der RA (Herr Darges ZIMT) vorstellen. Alle Teilnehmer der PKI unterwerfen sich dabei den Regeln der Zertifizierungsrichtlinie. Zur Prüfung der Echtheit eines Zertifikates muss in den jeweiligen Anwendungen ein Wurzelzertifikat und / oder ein CA-Zertifikat vorhanden sein. Diese sind unter folgenden Links erhältlich: Uni-Siegen CA

Die PKI der Uni-Siegen hat folgende hierarchische Wurzelzertifikatsstruktur:

Wurzelzertifikat (Deutsche Telekom Root CA) / DFN-PCA-Zertifikat / CA-Zertifikat der Uni Siegen.

Das Wurzelzertfikat der DFN PKI ist im Internet Explorer (ab Version 7) als vertrauenswürdig eingetragen. Ebenso im Firefox ab Version 3.5 und und im E-Mail Client Thunderbird ab Version 2.0.0.23.

Ansonsten schauen Sie sich bitte die Seite des DFN Vereins an:

Informationen zur Integration  

und gegebenenfalls die nachfolgenden Links:  

Installieren der Wurzelzertifikate in Mozilla Firefox vor Version 3.5

Informationen zum manuellen Einbau in Firefox vor Version 3.5 finden Sie hier.

Importieren des Wurzelzertifikates

Zertifikate sind in den verschiedensten Systemen je nach Betriebssystem und Anwendung in unterschiedlichen Zertifikatsspeichern abgelegt. Beim Beantragen eines Zertifikates werden auf dem System die zugehörigen Privaten Schlüssel gespeichert. Zur Verwendung müssen der private Schlüssel und das Zertifikat im gleichen Zertifikatsspeicher vorliegen. Wenn nach erfolgreicher Antragstellung das Zertifikat zur Verfügung steht, muss es daher wieder in den Zertifikatsspeicher das Systems mit dem der Antrag gestellt wurde, eingespielt werden. Es gibt eine Reihe von Möglichkeiten, mit Zertifikaten umzugehen. Folgender Ablauf hat sich aber bisher als praktikabel erwiesen.

 

  1. Import der 3 Wurzel- bzw CA-Zertifikate in alle verwendeten Browser (falls noch nicht vorhanden)

  2. Einrichtung der Vertrauensstellungen

  3. Antragstellung eines Userzertifiates mit Firefox

  4. Vorlage der Unterlagen bei der RA der Uni-Siegen und Genehmigung

  5. Versand des Zertifikates durch die CA

  6. Import in den Zertifikatsspeicher (gleicher Firefox wie bei der Antragstellung)

  7. Einrichtung der Vertrauensstellungen (z.B. für Mail)

  8. Export (Backup) des User-Zertifikates in eine Datei im pk12-Format für die Verwendung in anderen Anwendungen und zur Sicherung des Zertifikates

  9. Import in den Zertifikatsspeicher der jeweiligen Anwendung (z.B. Internet-Explorer / Outlook, Thunderbird, Evolution usw.)

  10. Einrichtung der Vertrauensstellungen in der Anwendung

Aktualisiert via XIMS am 27.5.2010 von J. Sprügel