PKI / Zertifikate

PKI und Digitale Zertifikate

Die Universität Kassel beteiligt sich mit einer Zertifizierungsinstanz  (UniKassel-CA) an der DFN-PKI Hierarchie.

BITTE BEACHTEN:
Der Geltungsbereich der UniKassel-CA beschränkt sich auf Angehörige der Universität Kassel bzw. auf die Domain uni-kassel.de und deren Subdomains.

Wozu benötigt man Zertifikate?

Ein digitales Zertifikat ist gewissermaßen das Äquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten private und öffentliche Schlüssel und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen. Der private Schlüssel bleibt beim Nutzer selbst und darf nie herausgegeben werden.

Nutzerzertifikate

Nutzerzertifikate sind personenbezogene Zertifikate mit dem sich ein Nutzer eindeutig identifizieren kann. Diese Zertifikate können in vielen Mailprogrammen und Browsern z.B. zum Signieren und Verschlüsseln einer E-Mail genutzt werden.

Serverzertifikate

Serverzertifikate dienen der Identifizierung des Servers. Das heißt, der Server muss sich auch "ausweisen" und beweisen, dass er wirklich derjenige Server ist, der er zu sein vorgibt.

Gültigkeit des Zertifikats

Bei einem gültigen Zertifikat muss u.a.

  • Der Besitzer/Server mit dem Server übereinstimmen, mit dem man die Verbindung aufbauen wollte.

  • Der vollständige Domainname (z.B. www.uni-kassel.de) muss mit dem Domainnamen übereinstimmen, der im Zertifikat genannt wird.

  • Der Zugriff muss innerhalb des Gültigkeitszeitraumes erfolgen, d.h. das Zertifikat darf nicht abgelaufen sein

  • Die Zertifikatskette muss vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann ein Zertifikat nicht verifiziert werden.

  • Es muss überprüft werden, ob das Zertifikat widerrufen wurde. Dazu muss geprüft werden, ob das Zertifikat auf der Sperrliste der Zertifizierungsinstanz steht.

Was ist ein Wurzelzertifikat?

Am oberen Ende der Hierarchie/Kette von Zertifikaten steht ein Wurzelzertifikat (engl. top-level certificate). Wurzelzertifikate müssen in den Anwendungsprogrammen (z.B. in Ihrem Browser) installiert sein, damit die Anwendungsprogramme die Hierarchie/Kette von Zertifikaten überprüfen können. Die meisten Anwendungsprogramme bringen bereits vorintegrierte Wurzelzertifikate für kommerzielle Zertifizierungsinstanzen mit. Dies wird in Zukunft auch für Wurzelzertifikate der DFN-PCA möglich sein.

Wurzelzertifikate sollten Sie allerdings nur dann importieren/installieren, wenn Sie der entsprechenden Zertifizierungsinstanz vertrauen. Bei den vorintegrierten Wurzelzertifikaten haben Sie diese Entscheidungsfreiheit nicht mehr.

Nach oben

Wurzelzertifikate importieren

Das Importieren der Wurzelzertifikate ist ein zwingend notwendiger Vorgang, damit die Gültigkeit und Vertrauenswürdigkeit der Zertifikate überprüft werden kann.

Anleitungen zum Einbinden der Wurzelzertifikate finden Sie unter WLAN (eduroam).

Warum müssen Zertifikatswarnungen ernst genommen werden?

Hinweis: sichere Verbindung fehlgeschlagen
Beispiel

Fast jeder dürfte schon einmal eine Zertifikats-Warnung gesehen haben. Gibt es eine Warnmeldung vom Webbrowser handelt es sich um einen Betrugsversuch oder um eine Fehlkonfiguration des Servers oder Ihres Webbrowsers. In jedem Fall sollten Sie nach der Ursache für die Warnung suchen. Geben Sie auf keinen Fall vertrauliche Informationen wie Passworte oder Kontoinformationen ein! Fragen Sie ggf. im ITS oder bei Ihrem zuständigen Systemadministrator nach.

Typische Warnmeldungen betreffen:

  • Das Zertifikat ist abgelaufen (engl. expired), d.h. der Zeitraum der Gültigkeit ist verstrichen.

  • Das Zertifikat ist für einen anderen Webserver ausgestellt, d.h. z.B. www.xyz.de präsentiert ein Zertifikat von www.abc.de.

  • Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche Zertifikate sind bestenfalls für Testzwecke geeignet.

  • Das Zertifikat wurde widerrufen.

  • Die Zertifizierungsinstanz (engl. Certification Authority), die das Zertifikat ausgestellt hat, ist dem Browser nicht bekannt. Dies kann bedeuten, dass hier ein Wurzelzertifikat fehlt, um die Zertifikatskette überprüfen zu können. Es könnte sich allerdings auch um einen Betrugsversuch handeln.

In jedem Fall sollten Sie die Zertifikatswarnung lesen, denn Sie gibt in der Regel einen guten Hinweis auf die Ursache.

Weitere Informationen erhalten Sie auf den Seiten des DFN-Vereins

Nach oben

Kontakt

Kontaktinformationen zu den Registrierungsstellen der einzelnen Standorte finden Sie auf der entsprechenden Unterseite. Bitte bringen Sie zur Identifizierung Ihren Lichtbildausweis und den ausgedruckten Antrag mit.

Nach oben