Die bisherige PKI ("Version 1") basiert auf Software-Zertifikaten. Sie ist auf dieser Seite beschrieben. 2008 startet die neue PKI mit der Fraunhofer-Smartcard. Informationen dazu im Intranet
Digital IDs ("Version 1")	FhG-PKI "Version 1" Zertifizierungsinstanz der FhG "Version 1" für elektronische Zertifikate

Zertifizierungsrichtlinie (Policy) der FhG-CA
(OID: 1.3.6.1.4.1.778.80.2.1.1)

Inhalt

1. Einleitung
2. Zertifizierungsinstanz der FhG
3. Inhalt der FhG-Zertifikate
4. Registrierungsinstanzen der FhG
5. Zertifikatnehmer der FhG
6. Zertifizierungsvorgang
7. Sperrung von Zertifikaten
8. Management von Zertifikaten
9. Regeln für die Namensgebung
10. Dokumentation und Datenschutz

Einleitung

Das Ziel der Zertifizierungsinstanz der Fraunhofer-Gesellschaft für elektronische Zertifikate (FhG-CA) liegt in der Schaffung der technischen Voraussetzungen für eine gesicherte elektronische Kommunikation. Die Fraunhofer-Gesellschaft sowie die Betreiber der FhG-CA übernehmen keinerlei Gewährleistung. Insbesondere wird keine Haftung für eventuelle Schäden, die durch die Inanspruchnahme der Dienste der FhG-CA entstanden sind, übernommen. Alle Aufgaben werden von den Mitarbeitern der FhG-CA nach bestem Wissen und Gewissen durchgeführt. Eine Zertifizierung durch die FhG-CA zieht keinerlei rechtliche Bedeutung nach sich.

Die FhG-CA stellt nach dieser Zertifizierungsrichtlinie (Policy) für die MitarbeiterInnen der Fraunhofer-Gesellschaft "fortgeschrittene elektronische Zertifikate" aus. Durch diese Richtlinie ist es Kommunikationspartnern und Benutzern möglich, die durch die FhG-CA ausgestellten Zertifikate bzgl. ihrer Qualität und Güte selbst einzuschätzen.

Der ASN.1 Object Identifier (OID) für diese Zertifizierungsrichtlinie ist: 1.3.6.1.4.1.778.80.2.1.1
top

Zertifizierungsinstanz der Fraunhofer-Gesellschaft

Die Zertifizierungsinstanz der Fraunhofer-Gesellschaft (FhG-CA) hat folgende Adresse:

Fraunhofer-Gesellschaft Root-CA        -CC PKI- Schloß Birlinghoven D-53754 Sankt Augustin Tel: +49 2241 14 3155 eMail: zertifizierungsinstanz@fraunhofer.de eHome: https://pki.fraunhofer.de/ DN (X.509): cn=Fraunhofer-Gesellschaft Root-CA, o=Fraunhofer, c=DE

Die FhG-CA zertifiziert nur MitarbeiterInnen oder serverbasierte Dienste der FhG, die im zentralen Verzeichnisdienst (Corporate Directory) der FhG geführt sind.

Die FhG-CA ist eine Offline-CA und arbeitet

• sowohl als Zertifizierungsstelle,
  indem sie den Zertifizierungsrequest des Zertifikatnehmers übermittelt bekommt, diesen zertifiziert und die Zertifizierungsantwort dem Zertifikatnehmer übermittelt.
• als auch als Trust-Center,
  indem sie für die Zertifikatnehmer das asymmetrische Schlüsselpaar erzeugt und den öffentlichen Teil des Schlüsselpaares zertifiziert,

Die FhG-CA stellt im Sinne des Signaturgesetzes nur Zertifikate für fortgeschrittene elektronische Signaturen und keine qualifizierten elektronische Zertifikate aus; die rechtliche Relevanz dieser Zertifikate wird im Einzelfall festzustellen sein.

Die Zertifikate für fortgeschrittene elektronische Signaturen werden als

• low-level Zertifikate
  Software-Zertifikate (PKCS#10, PKCS#12, ...)
• medium-level Zertifikate
  Hardware-Zertifikate (Chip-Karte mit PSE, ...)

ausgegeben. Die Inhalte dieser Zertifikate unterscheiden sich "nur" im Kommentar, der auf die jeweilige Zertifizierungsstufe hinweist.

Die FhG-CA erfüllt folgende Bedingungen:

• Als Zertifizierungseinheit der FhG-CA ist ein dedizierter Rechner eingesetzt, der über keinerlei Verbindung zu einem Rechnernetz verfügt. Der Zugriff auf diesen CA-Rechner ist besonders geschützt
  Jeglicher Datenaustausch mit vernetzten Rechnern wird mittels eines elektronischen Datenträgers (zB. Diskette) vorgenommen.
• Die FhG-CA verwendet unterschiedliche asymmetrische Schlüsselpaare zur Zertifizierung und zur Kommunikation.
• Mit dem Zertifizierungsschlüssel werden ausschließlich Zertifikate für Zertifikatnehmer bzw. Sperrlisten (CRLs) unterschrieben.
• Der geheime Schlüssel der FhG-CA zum Erzeugen elektronischer Signaturen wird ausreichend vor Mißbrauch durch Unbefugte geschützt.
• Der Zertifizierungsschlüssel der FhG-CA hat Mindestlänge von 2048 Bits und kann damit aus heutiger Sicht bis Ende 2009 gültig sein. (vgl. Empfehlungen des BSI zu den Kryptoalgorithmen)
• Der Kommunikationssschlüssel der FhG-CA dient ausschließlich zur Kommunikation mit der FhG-CA; er unterscheidet sich nicht von Zertifikaten der übrigen Zertifikatnehmer.
• Die elektronische Kommunikation mit den FhG-RA's geschieht über signierte und ggf. verschlüsselte eMails.
• Die FhG-CA zertifiziert entsprechend den Empfehlungen des BSI zu den Kryptoalgorithmen Schlüssel
  • mit einer Mindestlänge von 1024 Bits, welche aus heutiger Sicht bis Ende 2008 gültig sein können,
  • mit einer Länge von 2048 Bits, welche aus heutiger Sicht bis Ende 2009 gültig sein können.
top

Inhalt der FhG-CA Zertifikate

Die von der FhG-CA ausgestellten Zertifikate enthalten:

• Name des Zertifikatinhabers
  cn=<Vorname Nachname>, ou=People, ou=<FhI|ZV/IZxxx>, o=Fraunhofer, c=DE
  bzw. für Server-Zertifikate.
  cn=<Server-Name>, ou=Services, ou=<FhI|ZV|IZxxx>, o=Fraunhofer, c=DE
• Name der Zertifizierungsinstanz
  cn=Fraunhofer-Gesellschaft Root-CA v2, o=Fraunhofer, c=DE
• Serien Nummer des Zertifikats
• Gültigkeitszeitraum
• Name des Signatur Algorithmus
• Öffentlicher Schlüssel
• folgende Erweiterungen:
  • Alternativer Name des Zertifikatinhabers
    eMail-Adresse: vorname.nachname@<FhI|ZV|IZxxx>.fraunhofer.de
  • Alternative Namen der Zertifizierungsinstanz
    eMail-Adresse: zertifizierungsinstanz@fraunhofer.de
    WWW-Seite:   http://pki.fraunhofer.de/
  • Key Usage
  • Extended Key Usage
  • Basic Constraints
  • URI auf diese Policy der FhG-CA
  • URI auf die Sperrliste (CRL) der FhG-CA
• Kommentar
  • Software Zertifikat der Zertifizierungsinstanz
    der Fraunhofer-Gesellschaft e.V., Muenchen;
    http://pki.fraunhofer.de/
  • Zertifikat der Zertifizierungsinstanz
    der Fraunhofer-Gesellschaft e.V., Muenchen;
    http://pki.fraunhofer.de/
top

Registrierungsinstanzen der Fraunhofer-Gesellschaft

Die Registrierungsinstanzen der Fraunhofer-Gesellschaft bilden die Schnittstelle der Benutzer bzw. Zertifikatnehmer zur FhG-CA. Wegen der räumlichen Entfernung der einzelnen Fraunhofer Institute zur FhG-CA ist es sinnvoll, in diesen jeweils eine Registrierungsinstanz (FhG-RA) einzurichten. Diese übernehmen vor Ort die Identitätüberprüfung der Zertifikatnehmer und der Zertifikatanforderungen sowie die Übermittelung der Zertifikatanforderungen an die FhG-CA; sie können hierbei institutsspezifische Gegebenheiten berücksichtgen.

Eine FhG-RA erfüllt folgende Bedingungen:

• Das zur Registrierung erforderliche Passwort ist ausreichend vor Mißbrauch durch Unbefugte zu schützen und darf nicht weitergegeben werden.
• Die elektronische Kommunikation mit der FhG-CA geschieht über signierte und ggf. verschlüsselte eMails.

Eine FhG-RA führt folgende Aufgaben durch:

1. Überprüfung der Identität der FhG-MitarbeiterInnen zB. anhand von Personalausweis und FhG-Ausweis.
2. Überprüfung des Fingerprints der Zertifikatanforderung mit dem auf dem Ausdruck der Schlüsselgenerierung.
3. Überprüfung, ob der Zertifikatnehmer im zentralen Verzeichnisdienst der FhG eingetragen ist.
4. Überprüfung des Namens in dem öffentlichen Schlüssel, ggf. nach Rücksprache mit der FhG-CA, entsprechend den Regeln für die Namensgebung (vgl. Eintrag im Verzeichnisdienst).
5. Sie weist den Zertifikatnehmer besonders darauf hin, daß nur Zertifikate mit einer Schlüssellänge von mindestens 1024 Bit zertifiziert werden.
6. Sie läßt sich handschriftlich die Teilnehmererklärung der FhG-CA unterschreiben und schickt diese an die FhG-CA.
7. Signierte und verschlüsselte Übermittelung der Zertifikatsanforderung an die FhG-CA.
8. Festlegung des Gültigkeitszeitraums für das Zertifikat, jedoch grundsätzlich nicht unter drei Monaten.

Bei der Benutzung der webbasierten CA der FhG werden die Punkte 3 bis 7 während der Zertifikatanforderung automatisch durchgeführt.
top

Zertifikatnehmer der Fraunhofer-Gesellschaft

Folgende Anforderungen werden an die Zertifikatnehmer der Fraunhofer-Gesellschaft gestellt:

• Zertifikatnehmer können sowohl MitarbeiterInnen als auch "Server" der FhG sein.
• Zertifikatnehmer müssen im zentralen Verzeichnisdienst der FhG eingetragen sein.
• Der geheime Schlüssel des Zertifikatnehmers muß ausreichend vor Mißbrauch durch Unbefugte geschützt sein (zB. Passwort, PIN).
• Der geheime Schlüssel des Zertifikatnehmers darf grundsätzlich nicht, auch nicht an die FhG-CA, weitergegeben werden. Hierfür ist jeder Zertifikatnehmer selbst verantwortlich.
• Generieren sich Zertifikatnehmer das asymmetrische Schlüsselpaar selbst, so muß es eine Schlüssellänge von mindestens 1024 Bit haben; denn dadurch kann es aus heutiger Sicht bis Ende 2008 gültig sein. Bei einer Schlüssellänge von 2048 Bit kann das Zertifikat bis Ende 2009 gültig sein.
• Zertifikatnehmer erzeugen einen Zertfizierungsrequest (PKCS#10, SPKC), der den Namen des Zertifikatnehmers entsprechend den Regeln für die Namensgebung enthalten muß. Dieser Name identifiziert eindeutig den Zertifikatnehmer im zentralen Verzeichnisdienst der FhG.
• Die Zertifikatnehmer der FhG-CA erklären sich mit der Veröffentlichung ihres Zertifikats einverstanden.
• Zertifikatnehmer sind verpflichtet, unverzüglich das eigene Zertifikat sperren zu lassen, falls ihnen eine mißbräuche Nutzung des eigenen geheimen Schlüssels bekannt geworden ist.
• Zertifikatnehmer müssen dieser Zertifizierungsrichtlinie der FhG-CA zustimmen.
top

Zertifizierungsvorgang

Für die Funktion der FhG-CA als Zertifizierungsinstanz, die "nur" Zertifizierungsanforderungen von Zertifikatnehmern zertifiziert, sind folgende Schritte vorzunehmen:

1. Die FhG-RA erhält von dem Zertifikatnehmer den Zertifizierungsrequest (PKCS#10, SPKC) im DER- und auch im TXT-Format (ASCII).
2. Die FhG-RA überprüft, ob der Name in der Zertifizierungsanforderung mit den Daten aus dem zentralen Verzeichnisdienst der FhG übereinstimmen.
3. Die FhG-RA überzeugt sich von der Identität des Zertifikatnehmers (in der Regel Personalausweis, Reisepaß).
4. Der Zertifikatnehmer hat vor der Zertifizierung seines öffentlichen Schlüssels durch die FhG-CA handschriftlich die Teilnehmererklärung der FhG-CA, in der der Zertifizierungsrichtlinie der FhG-CA zugestimmt wird, zu unterzeichnen. Dabei erhält er den öffentlichen Zertifizierungsschlüssel der FhG-CA (Zertifikat Fingerprint).
5. Die FhG-RA überprüft, ob der Zertifizierungsrequest über eine Schlüssellänge von mindestens 1024 Bits verfügt.
6. Die FhG-RA übermittelt die Zertifizierungsanforderung an die FhG-CA.
7. Die FhG-CA zertifiziert die Zertifizierungsanforderung und übermittelt die Zertifizierungsantwort (PKCS#7) an den Zertifikatnehmer, ggf. über seine FhG-RA.
8. Die FhG-CA liefert das Zertifikat für die Übernahme in den zentralen Verzeichnisdienst als LDIF-File ab.

Für die Funktion der FhG-CA als Trust-Center, welche das asymmetrische Schlüsselpaar zentral für den Zertifikatnehmer erstellt, sind folgende Schritte vorzunehmen:

1. Der Zertifikatnehmer meldet sich mit dem Zertifizierungswunsch bei seiner FhG-RA.
2. Die FhG-RA überprüft, ob der Zertifikatnehmer im zentralen Verzeichnisdienst der FhG eingetragen ist.
3. Die FhG-RA übermittelt eMail-Adresse und "Distinguished Name" des Mitarbeiters aus dem zentralen Verzeichnisdienst an die FhG-CA.
4. Die FhG-CA erzeugt für diese Daten das Personal Security Environment (PSE), indem sie ein asymetrisches Schlüsselpaar generiert und den öffentlichen Teil des Schlüsselpaares zertifiziert.
5. Die FhG-CA übermittelt die PSE als Chip-Karte oder als PKCS#12-Datei auf einer Diskette, die mit einer Transport-PIN gesichert ist, an die zuständige FhG-RA.
6. Die FhG-RA überzeugt sich von der Identität des Zertifikatnehmers (in der Regel Personalausweis, Reisepaß) und händigt dem Zertifikatnehmer die PSE (Chipkarte bzw. Diskette) aus.
7. Der Zertifikatnehmer hat handschriftlich die Teilnehmererklärung der FhG-CA, in der der Empfang der PSE bestätigt und der Zertifizierungsrichtlinie der FhG-CA zustimmt wird, zu unterzeichnen. Dabei erhalten Sie den öffentlichen Zertifizierungsschlüssel der FhG-CA (Zertifikat Fingerprint).
8. Die FhG-RA übermittelt die Teilnehmererklärung der FhG-CA, die daraufhin dem Zertifikatnehmer die Transport-PIN in einem verschlossenen Umschlag schickt.
9. Die FhG-CA vernichtet bei sich die PSE des Zertifikatnehmers nachhaltig.
10. Die FhG-CA liefert das Zertifikat für die Übernahme in den zentralen Verzeichnisdienst als LDIF-File ab.

Die von der FhG-CA ausgestellten Zertifikate sind bei einer Schlüssellänge von 1024 Bit nur bis Ende 2008 und bei einer Schlüssellänge von 2048 Bit zunächst bis Ende 2009 gültig. Eine FhG-RA kann ggf. auch einen kürzeren Zeitraum, jedoch grundsätzlich nicht unter drei Monaten, festlegen.

Die Zertifikate werden nicht automatisch durch die FhG-CA erneuert. Die ZertifikatnehmerInnen müssen sich rechtzeitig um die Re-Zertifizierung durch die FhG-CA selbst kümmern.

Bei der Benutzung der webbasierten CA der FhG wird ein Teil der angeführten Schritte automatisch vorgenommen.
top

Sperrung von Zertifikaten

Die FhG-CA behält sich vor, von ihr erteilte Zertifikate jederzeit vor Ablauf der Gültigkeitsdauer mit expliziter Angabe von Gründe zu sperren. Ursachen für die Sperrung eines Zertifikats können beispielsweise sein:

• Bekanntwerden mißbräuchlicher Handlungen eines Zertifikatnehmers
• Nichtbefolgen auch einzelner Punkte dieser Policy
• Ausscheiden eines Mitarbeiters aus der Fraunhofer-Gesellschaft
• Änderung des Namens des Zertifikatnehmers
• Änderung der eMail-Adresse

Jeder Zertifikatnehmer kann von der FhG-CA, ggf. von seiner FhG-RA, auch ohne Angabe von Gründen verlangen, daß diese sein Zertifikat sperrt. Gründe könnten sein:

• Der private Schlüssel des Zertifikatnehmers ist mißbräuchlich benutzt worden.
• Der Zertifikatnehmer hat die PIN-Nummer auf den privaten Schlüssel vergessen und kann ihn nicht mehr benutzen.
• Der private Schlüssel ist verloren oder unwiederbringlich zerstört.

Die FhG-CA bzw. FhG-RA haben diesem Verlangen nachzukommen, sobald sie sich durch geeignete Schritte davon überzeugt hat, daß der Antrag vom Zertifikatnehmer selbst stammt bzw. von ihm autorisiert ist. Eine rückwirkende Sperrung ist nicht möglich. Einmal gesperrte Zertifikate können nicht erneuert werden. Jedoch hat jeder Teilnehmer der FhG-CA die Möglichkeit, ein neues Zertifikat anzufordern.

Die gesperrten Zertifikate werden unverzüglich von der FhG-CA auf der Sperrliste, der sog. Certificate Revocation List (CRL), veröffentlicht, damit die entsprechenden Schlüssel nicht irrtümlicherweise benutzt werden. Gesperrte Zertifikate bleiben solange auf der CRL, bis die ursprüngliche Gültigkeitsdauer überschritten wurde.
top

Management von Zertifikaten

Die Zertifikate der FhG-CA werden zunächst in einer lokalen Datenbank auf dem dedizierten und isolierten Rechner der FhG-CA, der zur Zertifizierung eingesetzt ist, gespeichert.

Die Zertifikate und Certificate-Revocation-Lists (CRLs) der FhG-CA werden im Zentralen Verzeichnisdienst der FhG (Corporate Directory) und auf den WEB-Seiten der FhG-CA veröffentlicht.
top

Regeln für die Namensgebung

Zur Identifizierung der Zertifikate wird den Zertifikatnehmern der FhG-CA ein eindeutiger Name, ein "Distinguished Name" (DN), wie er in den X.509 bzw. X.500 definiert ist, zugeordnet. Da die FhG-CA nur Zertifikatnehmer zertifiziert, die im zentralen Verzeichnisdienst der FhG (Corporate Directory) verzeichnet sind, sind "Distinguished Name" und eMail-Adresse für den Zertifikatnehmer vorgegeben. Der "Distinguished Name" ist hierarchisch strukturiert und wird durch eine geordnete Folge von eindeutig kennzeichnenden Namensattributen definiert.

"Distinguished Name" und eMail-Adresse der FhG-CA sind:
cn=Fraunhofer-Gesellschaft Root-CA, o=Fraunhofer, c=DE
zertifizierungsinstanz@fraunhofer.de

"Distinguished Names" und eMail-Adressen für MitarbeiterInnen der FhG sind grundsätzlich:
cn=Vorname Nachname,ou=People,ou=<Kürzel des FhI/ZV/IZxxx>,o=Fraunhofer,c=DE
vorname.nachname@<Kürzel des FhI/ZV/IZxxx>.fraunhofer.de

Für Vorname und Nachname wird grundsätzlich die ASCII-Form der Namen genommen, wie sie von den FhG-MitarbeiterInnen bei der Personalverwaltung der FhG angegeben sind.
(vgl. Konventionen über Mail-Benutzer-Namen in der FhG)

"Distinguished Names" für Server sind:
cn=Internet-Domainname, ou=Services,ou=<FhG Kürzel des FhI/ZV/IZxxx>,o=Fraunhofer,c=DE
(vgl. Konventionen über Internet-Domainnamen in der FhG)

"Distinguished Name" und eMail-Adresse eines Zertifikatnehmers werden als "SubjectName" bzw. "Subject alternative Name" in den Zertifikaten verwendet. Sie sind daher so gewählt, daß sie langfristig gültig sind, dh. z.B. bis zum Ende der Gültigkeit des FhG-Wurzelzertifikates (z.Zt. bis Ende 2009). Grundsätzlich sollte es keine Abweichung vom Domain-Teil der eMail-Adresse geben; bei Institutsaußenstellen könnten ggf. Ausnahmen erforderlich sein.
top

Dokumentation und Datenschutz

Alle Arbeiten im Rahmen dieser Policy werden, soweit technisch durchführbar, dokumentiert. Die bei der Zertifizierung anfallenden Daten werden vertraulich behandelt und die für sie geltenden Datenschutzrichtlinien einhalten.
top

Verantwortlich für diese Seite: Wurzelzertifizierungsinstanz der Fraunhofer-Gesellschaft

Die bisherige PKI ("Version 1") basiert auf Software-Zertifikaten. Sie ist auf dieser Seite beschrieben.

2008 startet die neue PKI mit der Fraunhofer-Smartcard Informationen dazu im Intranet