Information

Die Universität Kassel beteiligt sich mit einer Zertifizierungsinstanz  (UniKassel-CA) an der DFN-PKI Hierarchie.

BITTE BEACHTEN SIE:
Der Geltungsbereich der UniKassel-CA beschränkt sich auf Angehörige der Universität Kassel bzw. auf die Domain uni-kassel.de und deren Subdomains.

Ein digitales Zertifikat ist gewissermaßen das Äquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten private und öffentliche Schlüssel und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen. Der private Schlüssel bleibt beim Nutzer selbst und darf nie herausgegeben werden.

Bei einem gültigen Zertifikat muss u.a.

• Der Besitzer/Server mit dem Server übereinstimmen, mit dem man die Verbindung aufbauen will.
• Der vollständige Domainname (z.B. www.uni-kassel.de) mit dem Domainnamen übereinstimmen, der im Zertifikat genannt wird.
• Der Zugriff innerhalb des Gültigkeitszeitraumes erfolgen, d.h. das Zertifikat darf nicht abgelaufen sein.
• Die Zertifikatskette vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann ein Zertifikat nicht verifiziert werden.
• Überprüft werden, ob das Zertifikat widerrufen wurde. Dazu muss geprüft werden, ob das Zertifikat auf der Sperrliste der Zertifizierungsinstanz steht.

Am oberen Ende der Hierarchie/Kette von Zertifikaten steht ein Wurzelzertifikat (engl. top-level certificate). Wurzelzertifikate müssen in den Anwendungsprogrammen (z.B. in Ihrem Browser) installiert sein, damit die Anwendungsprogramme die Hierarchie/Kette von Zertifikaten überprüfen können. Die meisten Anwendungsprogramme bringen bereits vorintegrierte Wurzelzertifikate für kommerzielle Zertifizierungsinstanzen mit. Dies wird in Zukunft auch für Wurzelzertifikate der DFN-PCA möglich sein.

Wurzelzertifikate sollten Sie allerdings nur dann importieren/installieren, wenn Sie der entsprechenden Zertifizierungsinstanz vertrauen. Bei den vorintegrierten Wurzelzertifikaten haben Sie diese Entscheidungsfreiheit nicht mehr.

Das Importieren der Wurzelzertifikate ist ein zwingend notwendiger Vorgang, damit die Gültigkeit und Vertrauenswürdigkeit der Zertifikate überprüft werden kann.

Anleitungen zum Einbinden der Wurzelzertifikate für verschiede Betriebssysteme finden Sie unter WLAN (eduroam).

Typische Warnmeldungen betreffen:

• Das Zertifikat ist abgelaufen (engl. expired), d.h. der Zeitraum der Gültigkeit ist verstrichen.

• Das Zertifikat ist für einen anderen Webserver ausgestellt, d.h. z.B. www.xyz.de präsentiert ein Zertifikat von www.abc.de.

• Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche Zertifikate sind bestenfalls für Testzwecke geeignet.

• Das Zertifikat wurde widerrufen.

• Die Zertifizierungsinstanz (engl. Certification Authority), die das Zertifikat ausgestellt hat, ist dem Browser nicht bekannt. Dies kann bedeuten, dass hier ein Wurzelzertifikat fehlt, um die Zertifikatskette überprüfen zu können. Es könnte sich allerdings auch um einen Betrugsversuch handeln.

In jedem Fall sollten Sie die Zertifikatswarnung lesen, denn Sie gibt in der Regel einen guten Hinweis auf die Ursache.

Weitere Informationen erhalten Sie auf den Seiten des DFN-Vereins.

Bitte beachten Sie das neue Verfahren zum Beantragen von Nutzerzertifikaten.