/ dienste / it_sicherheit / pki /

 

PKI - Digitale Signatur, Verschlüsselung und Zertifikate

Grundlagen

Zertifikate dienen in der elektronischen Welt zur eindeutigen Identifizierung von Personen oder Servern. Mit PKI (Public-Key-Infrastruktur) bezeichnet man in der Kryptographie und Kryptologie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Es wird bei der PKI der Uni-Siegen zwischen einem User- und einem Server-Zertifikat unterschieden. Das User-Zertifikat dient zur eindeutigen Authentifizierung einer Person, das Server-Zertifikat zur Identifizierung eines Servers. Alle Uni-Siegen-Zertifikate werden von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) herausgegeben (signiert). Die Bearbeitung vor Ort (z.B. Prüfung der Identitäten durch den Personalausweis) wird von einer lokalen Registrierungsstelle (Registration Authority, RA) übernommen. Mit Hilfe von User-Zertifikaten ist es möglich, Dateien oder Nachrichten zu signieren, die Urheberschaft eines signierten Dokumentes eindeutig zu identifizieren, auf Veränderung während der Übertragung zu prüfen oder Daten zu verschlüsseln. Beim Server-Zertifikat kann sichergestellt werden, dass ich mit dem richtigen Server verbunden bin (z.B. bei SSL-Verbindungen). 

Die Universität Siegen betreibt keine eigene Zertifizierungsstelle sondern nutz den Dienst des DFN-Vereins. Da der DFN-Verein den Dienst umstrukturiert hat, sind zur Zeit unterschiedliche Antragswege für Nutzerzertifikate und Server Zertifikate notwendig.

Beantragen eines Nutzerzertifikates der Uni-Siegen

Bitte nutzen Sie diesen Weg ausschlißlich zur Beantragung von Nutzerzertifikaten. Die Antragstellung ist analog zur Antragstellung eines Personalausweises.

Mit dem vollständig ausfüllten Antragsformular und einem Personalausweis müssen Sie sich zur Überprüfung der Identitäten an das SupportDesk wenden. Alle Teilnehmer der PKI unterwerfen sich dabei den Regeln der Zertifizierungsrichtlinie. Zur Prüfung der Echtheit eines Zertifikates muss in den jeweiligen Anwendungen ein Wurzelzertifikat und / oder ein CA-Zertifikat vorhanden sein. Diese sind unter folgenden Links erhältlich: Uni-Siegen CA

Die PKI der Uni-Siegen hat folgende hierarchische Wurzelzertifikatsstruktur:

Wurzelzertifikat (T-TeleSec GlobalRoot Class 2) / DFN-Verein Certification Authority 2 / DFN-Verein Global Issuing CA.

Das Wurzelzertfikat der DFN PKI ist im Internet Explorer (ab Version 7) als vertrauenswürdig eingetragen. Ebenso im Firefox und im E-Mail Client Thunderbird.

Beantragen eines Serverzertifikates der Uni-Siegen

Für den Antrag benötigen Sie den CSR (Certifikate Signing Request). Sie müssen sich am Dienst authentifizieren. Die Antragstellung erfolgt papierlos über das Sectigo-Portal.

Anleitung  - Antrag Serverzertifikat über DFN-AAI

Zertifikate der Zwischenzertifizierungsstellen gibt es unter https://doku.tid.dfn.de/_media/de:dfnpki:ca:tcs-server-certificate-ca-bundle.tar

Das Wurzelzertfikat des Dienstleisters Sectigo ist in allen aktuellen Browser vorinstalliert kann aber auch bezogen werden.

https://doku.tid.dfn.de/_media/de:dfnpki:ca:tcs-root-bundle.tar 

Zertifikate sind in den verschiedensten Systemen je nach Betriebssystem und Anwendung in unterschiedlichen Zertifikatsspeichern abgelegt. Beim Beantragen eines Zertifikates werden auf dem System die zugehörigen Privaten Schlüssel gespeichert. Zur Verwendung müssen der private Schlüssel und das Zertifikat im gleichen Zertifikatsspeicher vorliegen. Wenn nach erfolgreicher Antragstellung das Zertifikat zur Verfügung steht, muss es daher wieder in den Zertifikatsspeicher des Systems mit dem der Antrag gestellt wurde, eingespielt werden. Nachfolgend finden Sie einige

 Anleitungen zum Importieren/Exportieren des Zertifikats