Was ist eine X509-Zertifizierung?
X.509-Zertifikate für Rechner werden zur Authentifizierung bei einer verschlüsselten Übertragung von Daten (per SSL, Secure Socket Layer) verwendet, z.B. von WWW-Servern (https-URLs). Prinzipiell kann jeder Server-Betreiber sich selbst ein Zertifikat ausstellen und selbst signieren. Eine CA bestätigt durch ihre digitale Signatur, dass der Zertifikatsinhaber auch wirklich der ist, für den er sich ausgibt. Auf welche Art und Weise eine CA das überprüft, steht in ihrer Policy. X.509-Zertifikate für Benutzer ermöglichen beispielsweise die digitale Signatur einer E-Mail oder die Verschlüsselung einer E-Mail an eine andere Person. Ein weiterer Anwendungsfall für den Einsatz personenbezogene Zertifikate ist die Authentifizierung (z.B. Im Grid-Umfeld).
Warum gibt es CAs, die keine Zertifikate mehr ausstellen?
Die DFN-PCA und die KIT-CA arbeiten nach dem Prinzip der vollständigen Einbettung, d.h. ein Zertifikat eines Servers ist nur dann gültig, wenn zum aktuellen Zeitpunkt auch alle in der Zertifizierungskette darüber liegenden CAs noch gültig sind. Um dies sicher zu stellen, arbeitet jede Sub-CA nur in der ersten Hälfte ihres Gültigkeitszeitraumes produktiv und stellt Zertifikate aus. Bei Halbzeit wird eine neue, gleichberechtigte Sub-CA erzeugt, die ebenfalls nur in der ersten Hälfte zertifiziert usw. Daher liegt der Gültigkeitszeitraum jedes Zertifikats immer vollständig in dem der übergeordneten CA.
Wie finde ich ein Zertifikat?
Zertifikate der DFN-PCA und der KIT-CA finden sie auf der Startseite der KIT-CA.
Wie bekomme ich ein Zertifikat?
X.509-Zertifikate für Rechner: Sie erstellen einfach einen Request, der Ihre Daten enthält. Diesen Request schicken Sie an die Registrierungsstelle. Dann füllen Sie noch einen Teilnahmeantrag aus und schauen persönlich bei der RA vorbei (Ausweis nicht vergessen!). Die RA überprüft Ihre Angaben und bestätigt dies durch eine digitale Signatur unter Ihrem Request und schickt das ganze an Sie zurück. Ging das zu schnell? Dann können Sie auch die Benutzungsanleitung der KIT-CA auf den SCC-Webseiten herunterladen. X.509-Zertifikate zur E-Mail-Signatur: Sie beantragen mit Ihrem Browser einen Request, dieser wird automatisch an die Registrierungstelle geschickt. Sie müssen dann nur noch den Teilnehmerantrag am PC ausfüllen, ausdrucken und danach damit persönlich bei der RA vorbeischauen (Ausweis nicht vergessen!). Die RA überprüft Ihre Angaben und bestätigt dies durch eine digitale Signatur unter Ihrem Request und schickt das ganze per E-Mail an Sie zurück. Um Ihr Zertifikat zu installieren klicken Sie bitte mit dem gleichen Browser, mit dem Sie den Antrag gestellt haben, auf den in der E-Mail enthaltenen Link. X.509-Zertifikate für Grid-Rechner: Auf den Seiten der GridKA-Ca ist eine entsprechende Anleitung veröffentlicht. X.509-Zertifikate für den Zugriff auf Grid-Ressourcen: Auf den Seiten der GridKA-Ca ist eine entsprechende Anleitung veröffentlicht.
Wo finde ich die Registrierungsstellen (RAs)?
Auf den CA-Seiten finde Sie eine Liste der Registrierungsstellen für die KIT-CA.
Welche Zertifizierungsstelle muss ich verwenden?
Grundsätzlich kann durch das Umfeld der Nutzung entschieden werden, welche Zertifizierungsstellen zu nutzen sind: Für Mitarbeiter, die im Grid-Umfeld arbeiten, ist die Nutzung der GridKA-CA zusätzlich zur KIT-CA erforderlich. Für alle anderen Mitarbeiter ist die Benantragung von Zertifikaten über die KIT-CA ausreichend.
Was ist eine Policy?
Ein Vertrauen in eine CA setzt voraus, dass die CA gewissenhaft arbeitet und sich an gewisse Vorschriften hält. Diese Vorschriften beinhalten zu Beispiel, wer wen wann und wie lange zertifizieren darf und auf welche Art er sich von dessen Identität überzeugen muss. Die Sammlung dieser Vorschriften nennt man Policy, und diese ist bindend für die Mitarbeiter einer CA. Policies ändern sich im Laufe der Zeit, aber meistens nur geringfügig. Da man aus einem Zertifikat stets den Zeitpunkt der Zertifizierung erkennen kann, wird eine Historie der Policies mitgeführt, um erkennen zu können, unter welchen Bedingungen eine Zertifizierung durchgeführt wurde. Die Policies werden vor einer Zertifizierung durch eine PCA (Policy Certification Authority) geprüft, in unserem Falle von der PCA des DFN (das ist das Deutsche Forschungsnetz). Die Einhaltung wird ebenfalls von der DFN-PCA kontrolliert. Die aktuelle Policy der KIT-CA ist auf den Webseiten des DFN-Vereins verfügbar.
Was sind Zertifizierungsketten?
X.509 sieht in der Version 3 Zertifizierungsketten vor. Zur einfachen Erklärung sei hier mal der Fall angenommen, ein Benutzer verbindet sich mit seinem Browser mit einem SSL-Server. Der Server übersendet sein Zertifikat. In diesem Server-Zertifikat steht drin, welche CA die Zertifizierung vorgenommen hat. Von einigen CAs besitzen Browser bereits das Wurzel-Zertifikat. Handelt es sich um eine solche CA, dann kann der Browser sofort überprüfen, ob das Zertifikat echt ist. Besitzt der Browser das Zertifikat der genannten CA nicht, dann geht er auf die Suche nach den fehlenden Zertifikaten. Verschiedene Browser machen das auf verschiedene Weise, verschiedene Server antworten auf verschiedene Weise. Bei manchen reicht es, das Wurzelzertifikat zu installieren, also nur das oberste, der Beginn der Kette quasi. Andere benötigen auch alle zwischenliegenden. Am besten fährt man, wenn man alle zwischenliegenden gleich installiert. Die Zusammenstellung finden Sie auf der Downloadseite. Im Fall der UNIKA-CA findet die eigentliche Zertifizierung durch eine Unter-CA statt. Diese wurde von der UNIKA-CA zertifiziert, und diese wiederum von der DFN-PCA, welche das Wurzelzertifikat bildet. Dies wird leider (noch) nicht standardmäßig mit den Browsers ausgeliefert und muss daher einmalig in den Browser integriert werden.
Was bringt mir eine Zertifizierung durch die KIT-CA?
Stellen Sie sich einmal vor, Ihr SSL-Server wurde von der KIT-CA zertifiziert. Ein weiterer SSL-Server, zum Beispiel an der Universität Stuttgart, wurde von deren CA zertifiziert. Beiden CAs ist die Zertifizierung durch die DFN-PCA gemeinsam. Jeder Benutzer, der also das Wurzelzertifikat der DFN-PCA in den Browser integriert hat, kann ohne weiteres die Identität beider Server überprüfen und verschlüsselt kommunizieren.
Was ist der Unterschied zwischen SSL und SMIME?
Man möge die etwas ungenaue Formulierung entschuldigen. Es geht hier nicht um die detailgetreue Wiedergabe diverser RFCs, sondern um eine einfache Erklärung. SSL steht für Secure Socket Layer und beschreibt ein Verfahren, dass verwendet wird, um eine sicherere Verbindung zwischen einem Client und einem Server herzustellen. X.509 beschreibt ein Format, welches für Zertifikate verwendet wird. SSL verwendet wiederum solche Zertifikate für die Autentifizierung beim Verbindungsaufbau. SMIME ist eine Erweiterung des MIME-Standards für Emails und arbeitet ebenfalls mit X.509-Zertifikaten. Eine CA stellt also genaugenommen keine SSL-Zertifikate aus (obwohl die immer wieder so genannt werden), sondern Zertifikate nach dem X.509-Standard, die für SSL-Verbindungen (Server-Certs) oder SMIME-Emails (Client-Certs) verwendet werden können. Genau genommen sind das X.509v3-Zertifikate, aber das sind schon wieder Feinheiten. Alles klar?
Wie kann ich SMIME benutzen?
Wenn Sie ein Nutzerzertifikat beantragt und erhalten haben, können Sie damit E-Mails nach SMIME-Standard signieren und verschlüsseln, indem Sie Ihr Zertifikat in Ihren Mailclient importieren und den Mailclient entsprechend konfigurieren. Details hierzu finden Sie in der SMIME-Anleitung, die auf den SCC-Seiten zur Verfügung steht.
Was sind öffentliche und private Schlüssel?
Bei der sogenannten asymmetrischen Verschlüsselung besitzt jeder Teilnehmer einen öffentlichen und einen privaten Schlüssel. Ohne jetzt hier ins Detail zu gehen, sollen nur zwei grundlegende Eigenschaften genannt werden:
Zu jedem öffentlichen Schlüssel gibt es genau einen privaten Schlüssel und umgekehrt. Während der öffentliche Schlüssel für jeden zugänglich gemacht wird (je mehr, desto besser), beruht die Sicherheit des Verfahrens auf der Geheimhaltung des privaten Schlüssels. Dieser darf niemals (weil es so wichtig ist, noch mal: niemals!) irgend jemandem zugänglich gemacht werden. Auch nicht der CA. Die bekommt nur den öffentlichen Schlüssel zu sehen.
Was mit dem einen der beiden verschlüsselt wurde, kann nur mit dem anderen entschlüsselt werden.
Was sich hier ganz harmlos anhört, hat weitreichende Konsequenzen und die Entdeckung stellte in der Geschichte der Kryptographie (und der Nachrichtendienste) eine wahre Revolution dar.
Wie liefert der IIS Zertifikatsketten aus?
Normalerweise liefert ein Webserver dem Client auf Anfrage alle Zertifikate zwischen dem Maschinen-Zertifikat und dem Root-Zertifikat aus. Der IIS benötigt hierzu die Zertifikate lokal installiert. Hier eine kurze Anleitung: * Auf dem Server mit dem IIS einloggen * DFN-PCA doppelklicken * KIT-CA doppelklicken Anschliessend muss der IIS Admin Dienst neu gestartet werden, incl. aller abhängigen Dienste. Auf dem Client muss dann nur noch das Root-Zertifikat installiert werden.
* Die Zertifikate für DFN-PCA, KIT-CA (in der aktuellen Version) runterladen (DER-Format)
* Zertifikat installieren (Install Certificate...)
* Weiter (Next)
* Alle Zertifikate in folgenden Speicher speichern (Place .. into the following store)
* Durchsuchen (Browse)
* Physikalischen Speicher anzeigen (Show Physical Store)
* Vertrauenswürdige Stammzertifizierungsstellen (Trusted Root Certification Authorities)
* Lokaler Computer (Local Computer)
* OK -> Weiter (Next) -> Fertig stellen (Finish) -> OK
* selbe Prozedur, aber als Physikalischen Speicher (Physical Store) auswählen:
* Zwischenzertifizierungsstellen (Intermediate Certification Authorities)
* Lokaler Computer (Local Computer)
