|
Size: 9591
Comment:
|
Size: 1730
Comment: JoachimPaul removed, Rainer Sigl durch Alex Agudo ersetzt
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 1: | Line 1: |
| = Zertifikate = Ein digitales Zertifikat ist eine Bescheinigung über die Identität, welche von einer unabhängigen und vertrauenswürdigen dritten Partei, der "Certification Authority (CA)", unterzeichnet wird. Also eine Art elektronische Urkunde oder die digitale Variante eines Ausweises. Normalerweise folgt ein solches Zertifikat den Regeln des X.509 Standards, aber dies ist nicht zwingend notwendig. Die "CA" verbürgt sich mit ihrer Unterschrift für die Richtigkeit der im Zertifikat enthaltenen Daten. |
Zertifikate dienen zur Sicherstellung der Identität des Herausgebers. |
| Line 4: | Line 3: |
| Ein Digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z.B. einer Person, einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel. Um beim Einsatz von asymmetrischen Kryptosystemen falsche (z. B. untergeschobene) von echten Schlüsseln zu unterscheiden, wird ein Nachweis benötigt, dass der verwendete öffentliche Schlüssel auch zum designierten Empfänger der verschlüsselten Nachricht bzw. zum Sender einer elektronisch signierten Nachricht gehört. Außerdem muss bei der Verschlüsselung bzw. Prüfung der digitalen Signatur sichergestellt werden, dass der Schlüssel auch mit diesem kryptographischen Verfahren und für den angedachten Anwendungsbereich verwendet werden darf. Diese Nachweise werden durch digitale Zertifikate geleistet. | Es gibt Nutzer- und Server-Zertifikate. |
| Line 6: | Line 5: |
| Ein Zertifikat besteht aus: | Ein Nutzer-Zertifikat dient zum * Signieren einer Email * Verschlüsseln einer Email * Authentisierung auf WEB Sites und Hosts |
| Line 8: | Line 10: |
| 1. Subjekt Name und Attributs-Informationen Dies sind Information über drn Besitzer, welche zertifiziert werden soll. Bei Personen also Informationen wie der Name, die Nationalität, die E-Mail-Adresse, der Arbeitsgeber dieser Person. Ausserdem kann das Subjekt auch ein Bild, die Fingerabdrücke oder die Pass-Nummer, usw. beinhalten. |
Ein Server-Zertifikat dient * zur Sicherstellung der Identitaet des Servers * zur Verschlüsselung (SSL, TLS) dessen Datenstroms (https, imaps, usw.) |
| Line 12: | Line 14: |
| 2. Public Key-Informationen Dies ist der Public Key der zu zertifizierenden Partei. Der Sinn des Zertifikates ist es, den Public Key an die unter 1 beschriebenen Informationen über das zu zertifizierende Objekt (die Person / den Server) zu binden, bzw. zuzuordnen. Der Public Key kann irgendein asymmetrischer Schlüssel sein, meistens ist es aber ein RSA-Schlüssel. |
Jeder MPG Mitarbeiter hat die Möglichkeit, ein, ansonsten sehr kostspieliges, persönliches Zertifikat zu bekommen. |
| Line 16: | Line 16: |
| 3. "Certifying Authority" Signatur Durch das Unterschreiben der ersten beiden Elemente beglaubigt die "Certifying Authority", also die anerkannte Beglaubigungsstelle, das Zertifikat. |
Das MPE betreibt RAs (Registration Authority) fuer MPG- und Grid-Zertifikate. |
| Line 19: | Line 18: |
| Zur Ausstellung eines Zertifikats sind strenge Richtlinien und Vorgaben einzuhalten und aus dem Grund werden Server Zertifikate, die in der Regel aus sogenannten X.509 Zertifikaten bestehen, nur anerkannte Organisationen heraus, die national oder international akzeptiert sind. | Die MPG Zertifikate basieren auf der Wurzel der Deutschen Telekom. |
| Line 21: | Line 20: |
| Der Verein zur Förderung eines Deutschen Forschungsnetzes e.V. (DFN-Verein) betreibt das Deutsche Forschungsnetz (DFN) und stellt seine Weiterentwicklung und Nutzung sicher. Dieses Hochleistungsnetz für Wissenschaft und Forschung verbindet Hochschulen und Forschungseinrichtungen miteinander und unterstützt Entwicklung und Erprobung neuer Anwendungen in Deutschland. Auf dieser Basis stellt der DFN-Verein seinen Anwendern Dienste zur Verfügung. Einer dieser Dienste ist die Bereitstellung einer Public Key Infrastruktur im Deutschen Forschungsnetz (DFN-PKI). Informationen zur DFN-PKI sind unter http://www.pki.dfn.de erhältlich. | Ihre zuständigen RA Administratoren: |
| Line 23: | Line 22: |
| Die Sicherheitsniveaus | || MPG RA || GRID RA || || [[mailto:agudo@mpe.mpg.de|"Alex Agudo"]] || [[mailto:agudo@mpe.mpg.de|"Alex Agudo"]] || |
| Line 25: | Line 25: |
| * Global Hierbei wird das Wurzelzertifikat in allen gängigen Browsern wie Microsofts Internet-Explorer, Opera oder Mozillas Browsers eingefügt, die Identifizierung erfolgt persönlich und der Betreiber der CA ist das ausstellende Zertifikatunternehmen oder Organisation. |
[[Zertifikate_Allgemein]] |
| Line 28: | Line 27: |
| * Classic Die Identifizierung erfolgt persönlich, die Zertifikate sind selbst unterschrieben vom Benutzer des Zertifikats und der Betreiber des CA ist das ausstellende Zertifikatunternehmen/Organisation oder Dritte (eben im Extremfall der Besitzer des Zertifikats selbst) |
[[Zertifikate:_Telekom_Wurzel_importieren]] |
| Line 31: | Line 29: |
| * Basic Die Identfizierung kann auch schwächer als persönlich erfolgen, die Zertifikate sind selbstsigniert und der Betreiber des des CA ist das ausstellende Zertifikatunternehmen/Organisation oder Dritte (eben im Extremfall der Besitzer des Zertifikats selbst) |
[[Zertifikate_beantragen]] |
| Line 34: | Line 31: |
| Das heißt, erst mit dem Sicherheitsniveau "Global" ist das Wurzel-Zertifikat des Zertifikat-Herausgebers in allen Browsern erhalten, während bei allen anderen Niveaus das Wurzelzertifikat erst in den benutzten Browser importiert werden muss. Das Wurzel-Zertifikat nämlich ist die Prüfstelle, mit der das Server-Zertifikat des betreffenden Betreibers eines mit X.509 geschützten Servers verglichen und entweder als vertrauenswürdig und original eingestuft wird oder als Fälschung mit entsprechendem Hinweis. | [[Zertifikate_in_SSH_RSA_Key_umwandeln]] |
| Line 36: | Line 33: |
| Das MPE betreibt RAs (Registration Agency) fuer MPG- und Grid-Zertifikate nach der Global Hierarchie, welche vom DFN ausgestellt werden | [[Nuetzliche_Befehle_mit_Openssl]] |
| Line 38: | Line 35: |
| * ["MPG Zertifikate"] | [[Verschlüsselung_von_Emails_mit_Zertifikaten]] |
| Line 40: | Line 37: |
| * ["GRID Zertifikate"] | ---- === Hinweis zum Umgang mit dem privaten Schluessel eines persönlichen Zertifikats === |
| Line 42: | Line 40: |
| == Schrittweise von der Erzeugung des Zertifikatsantrags bis zur Installation des Zertifikats fuer Windows und Unix Rechner == | Der private Schüssel ermöglicht Ihre Identifikation. Das bedeutet, dass eine Person, die in den Besitz Ihres privaten Schlüssels gelangt, sich für Sie ausgeben kann. Stellen Sie deshalb unbedingt sicher, dass der private Schlüssel ''ausschließlich'' Ihnen allein zugänglich ist. Auf Linux-Systemen etwa sind alle Zugriffsrechte für group oder other zu löschen. Geben Sie das Passwort für ihren privaten Schlüssel an keine anderen Personen weiter und sorgen Sie dafür, das es auch nicht aus Versehen in falsche Hände geraten kann. |
| Line 44: | Line 42: |
2. Schritt Jetzt geht es daran den certification request zu generieren. * Dazu dient das Kommando /usr/local/ssl/bin/openssl req -new -key MyKey.pem -out MyReq.pem. Hier wird zunächst wieder nach der vorher eingegebenen pass phrase gefragt. * Anschließend wird die ID des Schlüssels abgefragt. Dabei übernehmen Sie bitte bei allen Fragen die vorgegebenen Werte. Nur bei Common Name geben Sie Ihren Vor- und Nachnamen und bei Email Address Ihre email Adresse an. * Zum Abschluß werden Sie noch nach einem "challenge password" gefragt, dies können Sie verwenden um Ihren Schlüssel bei der CA zu wiederrufen. Die letzte Frage nach einem "optional company name" lassen Sie bitte leer. Nun haben Sie Ihr certification request generiert. Mit /usr/local/ssl/bin/openssl req -in MyReq.pem -text können Sie ihn sich anzeigen lassen. 3. Schritt Nun müssen Sie Ihren request via Mail an ca@fh-augsburg.de mit Ihrem Wunsch um Zertifizierung schicken. 4. Schritt Im Folgenden drucken Sie bitte die Benutzererklärung aus. Die key id entspricht hier dem Subject und der fingerprint der MD5 Prüfsumme. Die Prüfsumme ermitteln Sie mit /usr/local/ssl/bin/openssl md5 MyReq.pem. Unterschreiben Sie bitte die Erklärung noch nicht. 5. Schritt Nun können Sie einen Termin zum persönlichen Treffen mit einem Mittarbeiter der CA via eMail unter ca@fh-augsburg.de vereinbaren. Zu diesem Treffen bringen Sie bitte mit: * die ausgefüllte Benutzererklärung * Ihren gültigen Ausweis Bei diesem Treffen unterschreiben Sie im Beisein eines Mitarbeiters der CA die Teilnehmererklärung und erhalten eine Liste mit sämtlichen fingerprints der von der FH CA verwendeten Schlüssel. Anhand dieser fingerprints können Sie die authentizität des Zertifikates der FH CA überprüfen. 6. Schritt Sobald die CA Ihren Schlüssel zertifiziert hat, bekommen Sie ihn an die in der Schlüssel-ID angegebene Adresse zugesendet. Da die Zertifizierung offline erfolgt, kann dies einige Tage dauern. 7. Schritt Das erhaltene Zertifikat müssen Sie nun mit Ihrem privaten Schlüssel (hier: MyKey.pem) verbinden und in das pkcs12 Format konvertieren, bevor sie es in Ihren browser importieren können. Dazu dient das Kommando /usr/local/ssl/bin/openssl pkcs12 -inkey MyKey.pem -in MyCert.pem -out MyCert.p12 -export -name "Vorname Nachname, Fachhochschule Augsburg". Dabei werden Sie zunächste wieder nach der pass phrase gefragt, mit der Ihr geheimer Schlüssel geschützt ist. Im Anschluß vergeben Sie ein Kennwort mit dem die Exportdatei geschützt ist (sie enthält u.a. Ihren privaten Schlüssel). 8. Schritt Zuletzt müssen Sie nur noch Ihr Zertifikat in Ihren browser importieren. Bei der engl. Version des Communicators (netscape) klicken Sie bitte auf das Symbol security, es erscheint ein neues Fenster. Dort klicken Sie auf Certificates/Yours. Hier wählen Sie den Knopf Import Certificate. Sie werden nun nach dem Kennwort gefragt mit dem netscape Ihre Zertifikate schützt. Anschließend wählen Sie die Datei, die Ihr Zertifikat enthält (MyCert.p12) aus und geben das import/export Kennwort an. Nun ist das Zertifikat in netscape importiert. Falls Sie die Zertifikate der DFN PCA und der FH CA in Ihren browser geladen haben, sollten Sie Ihr Zertifikat anschließend überprüfen (verify). Wenn Sie nun Ihr Zertifikat zur Kommunikation via eMail verwenden möchten, wählen Sie im selben Fenster den Punkt messenger an und nehmen Sie die gewünschten Einstellungen vor. /etc/ssl/private# openssl s_client -connect mpemail:443 -showcerts c_rehash openssl pkcs12 -in cert-203613067.p12 -out mpemail.pem -clcerts -nokeys openssl x509 -in mpemail.pem -noout -text openssl pkcs7 -in tacar_certs.pem -outform pem -out tacar_certsout.pem -print_certs pkcs12 -inkey ../Antrag/mpemailkey.pem -in cert-203613067.pem -out cert-203613067.p12 -export -name "MPEMail" openssl pkcs12 -in cert-203613067.p12 -out mpemail-pw-key.pem -nocerts pkcs12 -in cert-203613067.p12 -out mpemai.pem -clcerts -nokeys openssl pkcs12 -in cert-203613067.p12 -out mpemail.pem -clcerts -nokeys openssl rsa -in mpemail-pw-key.pem -out mpemail-key.pem |
---- |
Zertifikate dienen zur Sicherstellung der Identität des Herausgebers.
Es gibt Nutzer- und Server-Zertifikate.
Ein Nutzer-Zertifikat dient zum
- Signieren einer Email
- Verschlüsseln einer Email
- Authentisierung auf WEB Sites und Hosts
Ein Server-Zertifikat dient
- zur Sicherstellung der Identitaet des Servers
- zur Verschlüsselung (SSL, TLS) dessen Datenstroms (https, imaps, usw.)
Jeder MPG Mitarbeiter hat die Möglichkeit, ein, ansonsten sehr kostspieliges, persönliches Zertifikat zu bekommen.
Das MPE betreibt RAs (Registration Authority) fuer MPG- und Grid-Zertifikate.
Die MPG Zertifikate basieren auf der Wurzel der Deutschen Telekom.
Ihre zuständigen RA Administratoren:
MPG RA |
GRID RA |
Zertifikate:_Telekom_Wurzel_importieren
Zertifikate_in_SSH_RSA_Key_umwandeln
Nuetzliche_Befehle_mit_Openssl
Verschlüsselung_von_Emails_mit_Zertifikaten
Hinweis zum Umgang mit dem privaten Schluessel eines persönlichen Zertifikats
Der private Schüssel ermöglicht Ihre Identifikation. Das bedeutet, dass eine Person, die in den Besitz Ihres privaten Schlüssels gelangt, sich für Sie ausgeben kann. Stellen Sie deshalb unbedingt sicher, dass der private Schlüssel ausschließlich Ihnen allein zugänglich ist. Auf Linux-Systemen etwa sind alle Zugriffsrechte für group oder other zu löschen. Geben Sie das Passwort für ihren privaten Schlüssel an keine anderen Personen weiter und sorgen Sie dafür, das es auch nicht aus Versehen in falsche Hände geraten kann.