Zertifizierungsstelle der Westsächsischen Hochschule Zwickau (WHZ CA)

1. Richtlinien zum Zertifizierungsbetrieb
1. CP der DFN-PKI
   Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen Forschungsnetz
   - Sicherheitsniveaus Global, Classic und Basic -
2. CPS der DFN-PCA
   Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der Public Key Infrastruktur im Deutschen Forschungsnetz
   - Sicherheitsniveaus Global, Classic und Basic -
3. CPS der WHz Zwickau CA
   Erklärung zum Zertifizierungsbetrieb der WHZ Zwickau CA in der Public Key Infrastruktur im Deutschen Forschungsnetz
2. Import des Wurzelzertifikates bzw. der Zertifikatskette mit
1. Firefox / Thunderbird
2. Microsoft Internet Explorer
3. Anträge
1. Beantragen eines persönlichen Zertifikates mit
1. Firefox (incl. Transfer zu Thunderbird)
2. Microsoft Internet Explorer
2. Beantragen eines Serverzertifikates

Diese Dokumentation wurde erstellt nach einer Vorlage des Rechenzentrums der Albert-Ludwig-Universität Freiburg/Brsg.

1. Wurzelzertifikat T-Telesec Global Root Class 2
   Das Wurzelzertifikat dieser Instanz beglaubigt das CA-Zertifikat der DFN-PKI im Sicherheitsniveau Global G02.
   Dieses Wurzelzertifikat ist in Windows Betriebssystemen (und damit in allen Microsoft-Anwendungen) vorinstalliert (lesen Sie dazu die Anmerkung zu Vista in der DFN-PKI-FAQ!). Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie ist leider erst ab Version Firefox 29 durchgeführt wurden.
2. Zertifizierungsstelle der DFN-PKI (angesiedelt beim DFN-Verein)
   Das Zertifikat dieser Zwischeninstanz wird beglaubigt vom Wurzelzertifikat der Deutschen Telekom (s. Ziff.1) und beglaubigt seinerseits alle davon abgeleiteten Zertifikate, u.a. das Zertifikat der Zertifikatsausgabestelle des DFN.
3. Zertifikatsausgabestelle des DFN
   Die persönlichen oder Server-Zertifikate der Einrichtung werden vom DFN-Zertifikat beglaubigt.

Der Betrieb der WHZ CA ist in folgenden Dokumenten geregelt:

Die WHZ CA bietet ihre Dienste allen Mitarbeitern und Studenten der Westsächsischen Hochschule Zwickau an.

Da im Zuge der Beantragung eines Zertifikates die AntragstellerInnen sich persönlich ausweisen müssen, befindet sich in den Räumen des ZKI der WHZ eine ausgezeichnete Registrierungsstelle im Sinne von Ziff.1.3.2 der CP Global (s. oben!)  zur persönlichen Identifikation und Antragsgenehmigung:

Das Wurzelzertifikat und die Zertifikate der DFN-CA und der WHZ CA
Um die Vorteile der Zertifizierung von Webseiten oder EMails durch die WHZ CA nutzen zu können (und bevor Sie ein eigenes Zertifikat beantragen), muss zumindest das Wurzelzertifikat im Betriebssystem bzw. dem Zertifikatsspeicher der nicht zum Betriebssystem gehörenden Web-Anwendung installiert sein.

Das Zertifikat der Wurzelzertifizierungsstelle Deutsche Telekom Root CA ist im Microsoft Internet Explorer und in Windows Betriebssystemen vorinstalliert. Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie war ursprünglich bis Mitte 2007 vorgesehen, dies ist aber leider auch nicht im Firefox 3 erfolgt.

Sie finden diese Zertifikate auf der Webseite der WHZ CA unter der Adresse:

https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=2900

Und zur Kontrolle nochmal die Fingerprints auf dieser Seite:

• für das Wurzelzertifikat der Deutschen Telekom AG (Gültigkeit: 01.10.2008 - 01.10.2033)
  SHA1 Fingerprint
  59:0D:2D:7D:88:4F:40:2E:61:7E:A5:62:32:17:65:CF:17:D8:94:E9
  SHA256Fingerprint
  91:E2:F5:78:8D:58:10:EB:A7:BA:58:73:7D:E1:54:8A:8E:CA:CD:01:45:98:BC:0B:14:3E:04:1B:17:05:25:52
• für das Zertifikat der DFN-PKI (Gültigkeit: 22.02.2016 - 22.02.2031)
  SHA1 Fingerprint
  E2:24:BE:F6:D7:86:22:0D:26:2B:B8:07:AB:6D:AC:F9:D3:A8:9A:93
  SHA256Fingerprint
  F6:60:B0:C2:56:48:1C:B2:BF:C6:76:61:C1:EA:8F:EE:E3:95:B7:14:1B:CA:C3:6C:36:E0:4D:08:CD:9E:15:82

Dies sind die Fingerprints der alten Generation 1 Zertifikate:

• für das Wurzelzertifikat der Deutschen Telekom AG (Gültigkeit: 9.7.1999 - 10.7.2019)
  MD5 Fingerprint  = 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08
  SHA1 Fingerprint = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
• für das Zertifikat der DFN-PKI (Gültigkeit: 19.12.2006 - 1.7.2019)
  MD5 Fingerprint  = CA:5A:00:CF:78:D1:4B:A7:E1:7F:DE:59:67:71:3A:BC
  SHA1 Fingerprint = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45
• für das Zertifikat der WHZ CA (Gültigkeit: 26.03.2008 - 30.06.2019)
  SHA1 Fingerprint = F1:40:49:5A:B9:EA:71:1A:E3:71:63:C6:0B:4E:9E:78:37:83:2A:DA

Üblicherweise verwenden Sie das DER-Format, um das Zertifikat in einen Webbrowser zu importieren.

Durch den Vergleich der Fingerprints kann man sich beim Import mit eigenen Augen davon überzeugen, ob man ein unverfälschtes Zertifikat vom Server erhalten hat.

Jeder Web-Browser verfügt über seinen eigenen Zertifikatsspeicher. Das bedeutet also z.B., dass ein Zertifikat, das in Mozilla Suite importiert wurde, nicht im MS Internet Explorer zur Verfügung steht. Ebenso ist ein in Mozilla Firefox importiertes Zertifikat in anderen Anwendungen nicht verfügbar, selbst Mozilla Thunderbird kennt es nicht. Eine Sonderstellung nimmt der Internet Explorer insofern ein, als ein dort importiertes Zertifikat allen Microsoft Anwendungen (z.B. Outlook, Outlook Express) zur Verfügung steht.

In der Anleitung

zeigen wir Ihnen, wie Sie grundsätzlich Zertifikate importieren, mit denen sich Zertifizierungsstellen ausweisen.

Tipp:

Falls Sie Ihre Mails mit einem persönlichen Zertifikat unterschreiben oder einen Service über das Internet anbieten, der sich den Benutzern gegenüber mit einem Server-Zertifikat ausweist, ist es nützlich und ratsam, die Kommunikationspartner auf das Wurzelzertifikat hinzuweisen. Das kann bei Mails im Signaturtext zusammen mit Name und Adresse geschehen, in einem Hinweistext auf der Frontseite des Web-Auftrittes oder in der Dokumentation. Verwenden Sie die obige DFN-Webadresse für den Bezug der Zertifikate.

Sie dürfen aber auch einfach einen Verweis auf dieses Dokument anbringen, damit sich die Kommunikationspartner auch über die Hintergründe Ihrer Sicherheitseinstellungen informieren können.

Der Antrag

Bevor Sie ein Zertifikat beantragen, sollten Sie die obigen Richtlinien und Erklärungen zum Zertifizierungsbetrieb durchlesen. Dort werden die Regeln festgelegt, nach denen die einzelnen Zertifizierungsinstanzen arbeiten. Neben den Richtlinien (CP, CPS) der DFN-PCA, kommen auch die lokalen Besonderheiten der WHZ CA und ihrer RA zur Geltung.

Das weitere Vorgehen hängt davon ab, ob Sie ein

• persönliches X.509-Zertifikat zum Unterschreiben und/oder verschlüsseln von Mails nach dem S/MIME-Verfahren
  oder ein
• X.509 Serverzertifikat benötigen.

Es liegen gesonderte Beschreibungen vor für das

• Beantragen eines persönlichen Zertifikates (X.509)
  Gültigkeit der persönlichen Zertifikate: 3 Jahre ab Genehmigung

sowie das

• Beantragen eines Serverzertifikates (X.509)
  Gültigkeit der Serverzertifikate: 5 Jahre ab Genehmigung

In beiden Fällen wird die Antragstellung in einfacher Weise über die folgende Web-Adresse der WHZ CA bei der DFN-PCA durchgeführt:

https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=2900

Im Falle eines Serverzertifikates kommt hinzu, dass Sie das Schlüsselpaar und den dazugehörenden Certificate Signing Request (CSR) selbst erzeugen müssen, üblicherweise mit den Mitteln, die der Server bietet (z.B. OpenSSL). Während der Antragstellung wird der CSR dann an die WHZ CA übertragen.

Die Schlüssellänge sollte mindestens 2048 bit betragen, besser sind aktuell 4096 bit.

Verwenden Sie bitte auf der Eingabemaske keine nationalen Sonderzeichen.

Ersetzen Sie nach folgenden Regeln:

• erlaubte Zeichen: a-z  A-Z  0-9  '  (  )  +  ,  -  .  /  :  =  ?  Leerzeichen
• deutsche Sonderzeichen ersetzen Sie durch die deutsche Umschreibung (ä -> ae, Ä -> Ae, ß -> ss usw.)
• andere Sonderzeichen ersetzen Sie durch den betreffenden Buchstaben ohne Akzent

Die Antragstellung endet mit dem Ausdruck eines Formulares, das Sie bitte komplett ausgefüllt und unterschrieben zur RA mitbringen.

Wir bitten dringend um eine Terminabsprache mit der RA per EMail oder Telefon (Sprechzeiten beachten!).

Achtung: Zertifikatanträge, die älter als drei Monate sind, werden von uns bei der nächsten Routinekontrolle gelöscht.

Die persönliche Identifizierung

In der RA weisen Sie sich anhand eines gültigen Personalausweises oder Reisepasses gegenüber der Kontaktperson aus.

Falls Sie ein Server-Zertifikat beantragen, bringen Sie bitte ein Bestätigungsschreiben Ihres Fachbereiches mit, aus dem hervorgeht, dass Sie Administrator des betreffenden Servers sind (s. Formulierungshilfe).

Ihr Antrag wird dann umgehend genehmigt, sofern kein Hinderungsgrund vorliegt. Die WHZ CA sendet Ihnen das Zertifikat in der Regel dann innerhalb weniger Minuten per EMail zu.

Wie weiter oben schon erwähnt gelten

• die persönlichen Zertifikate 3 Jahre ab Genehmigung
• die Serverzertifikate 5 Jahre ab Genehmigung

Als Zertifikatnehmer/in erhalten sie von der DFN-PKI 30 und 15 Tage vor Ablauf des Zertifikats eine Email, in denen Sie gewarnt werden, dass das Zertifikat abläuft. In der Mail ist eine Beschreibung enthalten, was zu tun ist.

Kurz zusammengefasst läuft die Verlängerung folgendermaßen ab:

Methode 1 (mit Unterschrift, für beide Zertifikatstypen anwendbar):

1. Sie stellen auf den Webseiten der WHZ CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages.
2. Das Antragsformular drucken Sie aus wie beim vorigen mal, tragen die fehlenden Angaben von Hand ein und unterschreiben.
3. Sie senden das unterschriebene Antragsformular per Hauspost an die RA oder legen es persönlich nach Absprache vor. Wenn Sie Serverzertifikate erneuern wollen, legen Sie bitte auch eine Bescheinigung der beschäftigenden Einrichtung vor, dass Sie berechtigt sind, die betreffenden Server zu verwalten. Beim Postversand vergleicht die RA die Unterschrift mit der des alten Antrages und stellt fest, ob der/die Antragsteller/in noch berechtigt ist, ein Zertifikat zu erhalten.
4. Bei positivem Ergebnis genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt.
5. Bei negativem Ergebnis nimmt die RA mit dem/der Antragsteller/in Kontakt auf.

Methode 2 (mit Zertifikat, nur für Benutzer-Zertifikate):

1. Sie stellen auf den Webseiten der WHZ CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages.
2. Sie senden eine Mail an die RA mit der Bitte um Verlängerung und unterzeichnen diese Mail mit dem Zertifikat, dessen Verlängerung Sie beantragt haben. Ihr Zertifikat sollte zu diesem Zeitpunkt natürlich noch gültig sein.
3. Bei positivem Ergebnis der Zertifikatsprüfung genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt.
4. Bei negativem Ergebnis der Zertifikatsprüfung nimmt die RA mit dem/der Antragsteller/in Kontakt auf.

Das eigtl. naheliegende Konzept, zu einem existierenden Schlüssel einfach ein neues Zertifikat herzustellen, stößt spätestens bei Microsoft-Anwendungen auf Hindernisse, da Sie dort nicht so ohne weiteres ein neues Zertifikat zu einem alten Schlüssel importiert bekommen. Daher unsere Empfehlung, einfach ein neues Zertifikat mit neuem Schlüssel zu erstellen.

Sie können Ihr Zertifikat sperren lassen, wenn Sie befürchten, daß Ihr geheimer Schlüssel ausspioniert wurde, und das Zertifikat von unberechtigten Personen genutzt werden könnte. Ein anderer möglicher Grund ist, dass Ihr geheimer Schlüssel verloren gegangen ist, z.B. nach Absturz und Neuinstallation Ihres Rechners, auf dem der private Schlüssel installiert war.

Durch das Sperren wird ein Zertifikat auf die sogenannte Sperrliste (CRL- Certificate revocation list) gesetzt. Diese enthält die Seriennummern von Zertifikaten, die vor Ablauf ihrer regulären Gültigkeit für ungültig erklärt wurden.

Zum Sperren besuchen Sie die dafür vorgesehene Webseite des DFN-Vereins und geben dort die Seriennummer des Zertifikates und auf Wunsch den Grund für die Sperrung ein. Die Angabe eines Grundes hilft beim späteren Nachvollziehen des Vorganges.

Die Seriennummer finden Sie in der Mail, mit der Ihnen das Zertifikat von der Zertifizierungsstelle zugeschickt wurde. Falls Sie die Seriennummer nicht mehr finden können, wechseln Sie auf der Webseite zu "Zertifikat suchen" und geben die Mailadresse (bei Benutzer-Zertifikaten) oder den Servernamen (bei Server-Zertifikaten) ein. Sie erhalten eine Liste von Seriennummern der Zertifikate, auf die die Suchanfrage passt.

Nachdem Sie die Seriennummer und evtl. den Grund abgeschickt haben werden Sie nach der PIN gefragt, die Sie bei der Beantragung angegeben haben. Ohne diese PIN sind Sie nicht in der Lage, die Sperrung durchzuführen und müssen die Hilfe der Registrierungsstelle in Anspruch nehmen.

Wenn Ihr Antrag zur Sperrung gelingt, wird die Registrierungsstelle automatisch informiert und schließt den Sperrvorgang mit der Genehmigung ab.

Anschließend erscheint das Zertifikat mit Seriennummer in den öffentlich zugänglichen Sperrlisten des DFN-Vereins, kann eingesehen und von den diversen Web-Clients (Browser, Mailprogramme usw.) automatisch ausgelesen werden.

Installieren der Sperrliste

Sie sollten sich einmal mit Ihrem Browser auf die Sperrlisten-Seite begeben und die Liste installieren. Danach ist der Browser in der Lage, fremde Zertifikate auf Sperrung zu überprüfen. Der Browser aktualisiert automatisch die Liste in konfigurierbaren Abständen.

Um die Sperrliste in den Zertifikats-Einstellungen zu importieren