- Last Updated: Thursday, 28 November 2019 15:52
Welche PKIs und Zertifizierungsstellen gibt es?
Es sind zum besseren Verständnis einige Hinweise zu den verschiedenen Versionen und Ausprägungen der Fraunhofer-PKI notwendig. Das CC-PKI betreibt für die Fraunhofer-Gesellschaft momentan genaugenommen drei PKIs, von denen im Folgenden zwei näher vorgestellt werden::
- Fraunhofer DFN-PKI 2016
Ab Juli 2016 werden Zertifikate für Fraunhofer-Smartcards (Mitarbeitende) sowie für Server und Services, Endgeräte, E-Mail-Dienste (Funktionsadressen und Mailing-Listen mit und ohne Signaturfunktionalität) und Code Signing ausschließlich aus dieser PKI erstellt. Sie löst damit die Fraunhofer DFN-PKI ab, deren Wurzelzertifikat - das Deutsche Telekom Root CA 2 Zertifikat - im Juli 2019 ausgelaufen ist. Die Fraunhofer DFN-PKI 2016 ist deshalb unterhalb eines neuen Wurzelzertifikats - des T-Telesec GlobalRoot Class 2-Zertifikats, das bis Anfang Oktober 2033 gültig ist - seitens des DFN-Vereins aufgebaut worden (vgl. auch untenstehende Abbildung, die den Zusammenhang zwischen der Fraunhofer DFN-PKI 2016 und der Fraunhofer DFN-PKI darstellt). - PKI für Außenstehende
Diese PKI wird in erster Linie betrieben, um Zertifikate für externe Kommunikationspartner von Fraunhofer auszustellen. Sie stellt keine Smartcards, sondern nur Software-Zertifikate aus und ist als PKI-Contacts bekannt.
In der Vergangenheit wurden ferner die folgenden PKIs betrieben, die mittlerweile jedoch stillgelegt sind:
- Fraunhofer DFN-PKI
Diese PKI wurde im Sommer 2012 in den Produktivbetrieb überführt und hat die Fraunhofer-PKI in der Version 2 abgelöst. Zunächst wurden nur Zertifikate für Server und Services, Endgeräte, E-Mail-Dienste (Funktionsadressen und Mailing-Listen mit und ohne Signaturfunktionalität) und Code Signing ausgestellt. Ab Mitte September 2014 stellte die PKI zusätzlich auch die Zertifikate für die Fraunhofer-Smartcards (Mitarbeitende) aus. Ab Juli 2016 wurden die Aufgaben der Fraunhofer DFN-PKI sukzessive durch die Fraunhofer DFN-PKI 2016 übernommen, da das Wurzelzertifikat der Fraunhofer DFN-PKI im Juli 2019 abgelaufen ist und ausgestellte Zertifikate aus dieser PKI damit ab Juli 2016 nicht mehr die maximale Laufzeit besitzen konnten. Alle Zertifikate aus dieser PKI sind im Juli 2019 mit Auslauf des Deutschen Telekom Root CA 2 - Zertifikats abgelaufen und ungültig geworden.. - Fraunhofer-PKI in der Version 2
Diese PKI hat die Fraunhofer-PKI Version 1 abgelöst und ist z. T. unter PKIv2 bekannt. Bis Mitte September 2014 wurden aus dieser PKI Zertifikate für Fraunhofer-Mitarbeitende auf Smartcards ausgegeben; bis Februar 2014 auch Zertifikate als Softtoken für Server und Services, Endgeräte und Code Signing. Die PKIv2 wurde ab Mitte 2012 sukzessive durch die Fraunhofer DFN-PKI abgelöst und Ende 2016 vollständig stillgelegt. - Fraunhofer-PKI in der Version 1
Diese PKI war die erste PKI der Fraunhofer-Gesellschaft, die Fraunhofer-weit Zertifikate für Server und Services sowie für Mitarbeitende erstellt hat (PKIv1). Allerdings wurden für die Fraunhofer-Mitarbeitenden noch keine Smartcards ausgegeben. Sie hatten stattdessen Software-basierte Zertifikate erhalten. Die PKIv1 wurde Ende 2009 außer Betrieb genommen.
Auf dieser Seite und den zugehörigen Unterseiten erfahren Sie, wieso es überhaupt verschiedene PKIs und Zertifizierungsstellen gibt und worin sie sich unterscheiden.
Eine Zertifizierungsstelle stellt digitale Zertifikate für Personen oder Systeme (z. B. Webserver) aus und macht damit eine Zusicherung, zu wem ein bestimmter kryptographischer Schlüssel (so genannter Public Key) gehört. Zertifizierungsstellen arbeiten nach bestimmten Regeln (zusammengefasst in einer so genannten Certificate Policy), die besagen, welche Aussagekraft und insbesondere welches Sicherheitsniveau die ausgestellten Zertifikate haben.
Jede Zertifizierungsstelle ist einer PKI zugeordnet. Mit PKI ist die zugehörige Infrastruktur und der Teilnehmerkreis gemeint, für den die Zertifizierungsstelle Zertifikate ausstellt. Die von Fraunhofer betriebenen PKIs lassen sich jeweils anhand der Zielgruppe und des Sicherheitsniveaus unterscheiden. Eine Zertifizierungsstelle wird auch als Certification Authority (CA) bezeichnet.
