Select your language

  • Deutsch (DE)
  • RSS
  • Podcast
  • Drucken
logo
  • Startseite
  • Übersicht: Fraunhofer-PKI
    • Fraunhofer DFN-PKI 2016
    • Fraunhofer DFN-PKI
    • Fraunhofer-PKI Version 2
    • Fraunhofer-PKI Version 1
    • PKI für Fraunhofer Kontakte
  • CA-Zertifikate und Sperrlisten
  • Dienstleistungen
  • Suche
  2. Home
  3. Übersicht: Fraunhofer-PKI
  4. Fraunhofer DFN-PKI

Fraunhofer DFN-PKI

Last Updated: Thursday, 28 November 2019 16:31

Fraunhofer DFN-PKI

Aufgrund der Verkettung des Fraunhofer Root CA 2007 Zertifikats mit dem Deutsche Telekom Root CA 2 Zertifikat bestand die Notwendigkeit, dass die Zertifizierungsstellen der Fraunhofer-PKI Version 2 ab dem 01. Juli 2012 die so genannten Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates des CA/Browser-Forums in der jeweils aktuell gültigen Fassung erfüllen. Es handelt sich dabei um zahlreiche Anforderungen an externe Zertifzierungsstellen mit Browser-integrierter Stammzertizierungsstelle, wie es auf die Fraunhofer-PKI Version 2 zutrifft.

 

Die Anforderungen der Baseline Requirements bezogen sich seinerzeit auf Zertifizierungsstellen, die Standard SSL/TLS-Zertifikate sowie sogenannte Extended Validation (EV) SSL/TLS bzw. Code Signing Zertifikate ausstellten.

 

Insbesondere ist es gemäß der Baseline Requirements erforderlich, jährlich ein sehr aufwändiges WebTrust- oder ETSI-konformes Audit durchzuführen. Vor diesem Hintergrund hat Fraunhofer beschlossen, die Fraunhofer Service CA 2007 der Fraunhofer-PKI Version 2 sukzessive stillzulegen. Ab dem 01. Oktober 2012 wurden keine SSL/TLS-Zertifikate für Server mehr von dieser Zertifizierungsstelle ausgestellt und Zertifikate für Services (E-Mail-Dienste), Endgeräte sowie Code-Signung wurden nur bis maximal Ende Februar 2014 ausgestellt.

 

Als Ersatz  hatte das CC-PKI im Sommer 2012 eine neue PKI - die Fraunhofer DFN-PKI - beim DFN-Verein aufgebaut und in Betrieb genommen. Zu dieser PKI gehörte zunächst insbesondere die Fraunhofer Service CA - G01, die ab 2012 sukzessive die Ausstellung von Zertifikaten für Server und Services, Endegeräte und Code Signing übernommen hat.

 

Im Mai 2014 sind weitere Anforderungen an externe Zertifzierungsstellen mit Browser-integrierter Stammzertizierungsstelle seitens Mozilla in Kraft getreten. Zudem bestand die Notwendigkeit, bis Ende 2016 alle Zertifikate, die den SHA-1 Hashalgorithmus verwenden, auszutauschen, um sie weiterhin im Windows-Umfeld verwenden zu können. Um diesen neuen Forderungen Rechnung zu tragen, wurde die Fraunhofer DFN-PKI im Frühjahr 2014 durch eine weitere Zertifizierungsstelle, die Fraunhofer User CA - G01 ergänzt. Diese hat ab Mitte September 2014 die Ausstellung von Zertifikaten für Fraunhofer-Mitarbeitende übernommen, also der Zertifikate für die Smartcards.

 

Sowohl die Fraunhofer Service CA - G01 als auch die Fraunhofer User CA - G01 waren unterhalb der Zertifizierungsstelle DFN-Verein PCA Global - G01 des Deutschen Forschungsnetzes angeordnet, die von der Deutschen Telekom Root CA 2 signiert wurde. Somit war auch für die von der Fraunhofer Service CA - G01 bzw. der Fraunhofer User CA - G01 ausgestellten Zertifikate die automatische Anerkennung im Außenraum sichergestellt.

 

Ab Juli 2016 wurden aus der Fraunhofer DFN-PKI keine weiteren neuen Zertifikate für Fraunhofer-Mitarbeitende bzw. für Server und Services mehr ausgestellt. Da das Deutsche Telekom Root CA 2 Anfang Juli 2019 abgelaufen ist, konnten neu ausgestellte Zertifikate der Fraunhofer User CA – G01 bzw. der Fraunhofer Service CA – G01 ab Juli 2016 nämlich nicht mehr die bisher übliche maximale Laufzeit (drei Jahre bei Smartcards bzw. 38 Monate für Server und Service-Zertifikate) besitzen. Aus diesem Grund wurden ab diesem Zeitpunkt alle neuen Zertifikate nur noch aus der Fraunhofer DFN-PKI 2016 ausgestellt. Mit dem Ablauf des Deutsche Telekom Root CA 2 Zertifikats im Juli 2019 sind alle Zertifikate der Fraunhofer DFN-PKI abgelaufen und ungültig geworden.

 

Zielgruppen waren:

  • alle Fraunhofer-Mitarbeitende. Sie erhielten einen Mitarbeiterausweis in Form einer multifunktionalen Smartcard, mit der zahlreiche Vorgänge abgesichert werden können:
    • sichere E-Mail (Verschlüsselung und Signatur)
    • Nutzung des Mitarbeiterportals, etwa für elektronische Zeitaufschreibung, Urlaubsanträge
    • Windows-Logon und VPN mit Smartcard anstelle von Benutzername / Passwort
    • Schutz von Notebooks mit Hilfe der Smartcard
    • elektronische Signatur von Dokumenten / Anträgen
    • ...
    Die Multifunktionalität wurde erweitert durch zusätzliche Nutzungsmöglichkeiten über einen optionalen Magnetstreifen und / oder RFID-Chip (z. B. für Gebäude- / Raumzugang, Bezahlsysteme etc.).

    Aus arbeitsrechtlichen Gründen unterschieden sich die Smartcards für interne und externe Mitarbeitende farblich (grüner bzw. gelber Hintergrund); technisch gab es jedoch keine Unterschiede.

  • Fraunhofer-Institute und Einrichtungen, die für dienstliche Zwecke Zertifikate für Systeme bzw. Services benötigten, die sich im Besitz der Fraunhofer-Gesellschaft befinden bzw. von ihr betrieben werden. Es wurden Zertifikate für folgende Anwendungssysteme bzw. -zwecke angeboten:
    • SSL/TLS Zertifikate für Web-, E-Mail- und GRID-Server, VPN-Geräte, Domain-Controller
    • Authentisierungszertifikate für Endgeräte
    • Zertifikate für Verschlüsselung und ggfs. Signaturfunktionalität für E-Mail-Basisdienste (Funktionsadressen) und Mailing-Listen
    • Zertifikate für Code Signing

Sicherheitsniveau: hoch

  • Mitarbeitende mussten sich bei der Abholung ihrer Smartcard durch ein amtliches Ausweisdokument mit Lichtbild identifizieren
  • kryptographisches Schlüsselmaterial von Mitarbeitenden war besonders geschützt, da es auf einer Smartcard vorlag
  • Die Antragstellung für Zertifikate für Server und Services setzte den Besitz einer Fraunhofer-Smartcard voraus, die nur nach persönlicher Identifikation mit Hilfe eines amtlichen Ausweisdokuments mit Lichtbild ausgegeben wurde.
  • unmittelbare Überprüfbarkeit der Zertifikate durch Außenstehende über die Zertifizierung durch die T-Systems

Certificate Policy (CP) und Certification Practice Statement (CPS):

  • Weitere Details siehe Policies der DFN-PKI.

Zertifizierungsstelle(n):

 

In dieser PKI waren die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten).

  • Die Fraunhofer User CA - G01 zertifizierte zwischen Mitte September 2014 und Mitte Juli 2016 Fraunhofer-Mitarbeitende und gab für diese Smartcards aus.
  • Die Fraunhofer Service CA - G01 stellte zwischen Juli 2012 und Anfang Juli 2016 Zertifikate für Server und Services (E-Mail-Basisdienste), Endgeräte und Code-Signing aus.
  • Beide CAs waren der DFN-Verein PCA Global - G01 untergeordnet, von der sie ihr Zertifikat erhalten hatten.
  • Die DFN-Verein PCA Global - G01 CA war wiederum der Deutsche Telekom Root CA 2 untergeordnet.
 
©2024 Fraunhofer CC-PKI
  • Kontakt
  • Impressum
  • Datenschutzerklärung
logo