Sie sind hier > ZKI-Portal > Anleitungen / Infos > Zertifizierungsinstanz

Zertifizierungsstelle der Westsächsischen Hochschule Zwickau (WHZ CA)

Die WHZ CA ist eine Zertifizierungsstelle der Westsächsischen Hochschule Zwickau, die vom DFN-Verein in deren Auftrag betrieben wird. Die Zertifikate werden ausgestellt von der übergeordneten Zertifizierungsstelle der DFN-PKI (DFN-PCA). Das Format der Zertifikate folgt der ITU-Empfehlung X.509.


Zertifikat beantragen


Die Struktur der Zertifizierungshierarchie

Der Weg zum eigenen Zertifikat

Dokumentationen

 

 

Die Struktur der Zertifizierungshierarchie - Sicherheitsniveau GLOBAL:

  1. Wurzelzertifizierungsstelle Deutsche Telekom Root CA 2
    Das Wurzelzertifikat dieser Instanz beglaubigt das CA-Zertifikat der DFN-PKI im Sicherheitsniveau Global G01.
    Dieses Wurzelzertifikat ist in Windows Betriebssystemen (und damit in allen Microsoft-Anwendungen) vorinstalliert (lesen Sie dazu die Anmerkung zu Vista in der DFN-PKI-FAQ!). Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie sollte bis Mitte 2007 erfolgen, wurde aber leider (z.B. bis zur Version Firefox 2.2.2.13) immer noch nicht durchgeführt.
  2. Zertifizierungsstelle der DFN-PKI (angesiedelt beim DFN-Verein)
    Das Zertifikat dieser Zwischeninstanz wird beglaubigt vom Wurzelzertifikat der Deutschen Telekom (s. Ziff.1) und beglaubigt seinerseits alle davon abgeleiteten Zertifikate, u.a. das Zertifikat der WHZ CA.
  3. Zertifizierungsstelle der Westsächsischen Hochschule Zwickau WHZ CA (angesiedelt beim DFN-Verein)
    Das Zertifikat dieser Einrichtung wird vom DFN-Zertifikat beglaubigt und beglaubigt seinerseits alle davon abgeleiteten persönlichen oder Server-Zertifikate.
  4. Registrierungsstelle (RA) der WHZ CA (angesiedelt beim ZKI der Westsächsischen Hochschule Zwickau)
    Diese Einrichtung identifiziert die AntragstellerInnen und genehmigt die beantragten Zertifikate.
     

 

Der Betrieb der WHZ CA ist in folgenden Dokumenten geregelt:

  • CP der DFN-PKI
    Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen Forschungsnetz
    - Sicherheitsniveaus Global, Classic und Basic -
  • CPS der DFN-PCA
    Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der Public Key Infrastruktur im Deutschen Forschungsnetz
    - Sicherheitsniveaus Global, Classic und Basic -
  • CPS der WHZ CA
    Erklärung zum Zertifizierungsbetrieb der WHZ CA in der Public Key Infrastruktur im Deutschen Forschungsnetz
     

 

Die WHZ CA bietet ihre Dienste allen Mitarbeitern und Studenten der Westsächsischen Hochschule Zwickau an.

 

Da im Zuge der Beantragung eines Zertifikates die AntragstellerInnen sich persönlich ausweisen müssen, befindet sich in den Räumen des ZKI der WHZ eine ausgezeichnete Registrierungsstelle im Sinne von Ziff.1.3.2 der CP Global (s. oben!)  zur persönlichen Identifikation und Antragsgenehmigung:

 

ZKI der WHZ

RA der WHZ CA, Raum 219

Dr. Friedrichs Ring 2a

D-08056 Zwickau

WHZRA@fh-zwickau.de

Tel.  +49 375 536 1215

FAX +49 375 536 1202 (Sekretariat)

Sprechzeiten:

     Dienstag 09:00 - 11:00 Uhr

     sowie nach telefonischer Absprache

 

Das Wurzelzertifikat und die Zertifikate der DFN-CA und der WHZ CA

 

Um die Vorteile der Zertifizierung von Webseiten oder EMails durch die WHZ CA nutzen zu können (und bevor Sie ein eigenes Zertifikat beantragen), muss zumindest das Wurzelzertifikat im Betriebssystem bzw. dem Zertifikatsspeicher der nicht zum Betriebssystem gehörenden Web-Anwendung installiert sein.

 

Das Zertifikat der Wurzelzertifizierungsstelle Deutsche Telekom Root CA ist im Microsoft Internet Explorer und in Windows Betriebssystemen vorinstalliert. Die Aufnahme dieses Wurzelzertifikates in die Mozilla Browser-Familie war ursprünglich bis Mitte 2007 vorgesehen, dies ist aber leider auch nicht im Firefox 3 erfolgt.

 

Sie finden diese Zertifikate auf der Webseite der WHZ CA unter der Adresse:

https://pki.pca.dfn.de/hs-zwickau-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=0

 

Und zur Kontrolle nochmal die Fingerprints auf dieser Seite:

  • für das Wurzelzertifikat der Deutschen Telekom AG (Gültigkeit: 9.7.1999 - 10.7.2019)
    MD5 Fingerprint  = 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08
    SHA1 Fingerprint = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
  • für das Zertifikat der DFN-PKI (Gültigkeit: 19.12.2006 - 1.7.2019)
    MD5 Fingerprint  = CA:5A:00:CF:78:D1:4B:A7:E1:7F:DE:59:67:71:3A:BC
    SHA1 Fingerprint = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45
  • für das Zertifikat der WHZ CA (Gültigkeit: 26.03.2008 - 30.06.2019)
    SHA1 Fingerprint = F1:40:49:5A:B9:EA:71:1A:E3:71:63:C6:0B:4E:9E:78:37:83:2A:DA

 

Üblicherweise verwenden Sie das DER-Format, um das Zertifikat in einen Webbrowser zu importieren.

 

Durch den Vergleich der Fingerprints kann man sich beim Import mit eigenen Augen davon überzeugen, ob man ein unverfälschtes Zertifikat vom Server erhalten hat.

 

Jeder Web-Browser verfügt über seinen eigenen Zertifikatsspeicher. Das bedeutet also z.B., dass ein Zertifikat, das in Mozilla Suite importiert wurde, nicht im MS Internet Explorer zur Verfügung steht. Ebenso ist ein in Mozilla Firefox importiertes Zertifikat in anderen Anwendungen nicht verfügbar, selbst Mozilla Thunderbird kennt es nicht. Eine Sonderstellung nimmt der Internet Explorer insofern ein, als ein dort importiertes Zertifikat allen Microsoft Anwendungen (z.B. Outlook, Outlook Express) zur Verfügung steht.

 

In der Anleitung

zeigen wir Ihnen, wie Sie grundsätzlich Zertifikate importieren, mit denen sich Zertifizierungsstellen ausweisen.

 

Tipp:

Falls Sie Ihre Mails mit einem persönlichen Zertifikat unterschreiben oder einen Service über das Internet anbieten, der sich den Benutzern gegenüber mit einem Server-Zertifikat ausweist, ist es nützlich und ratsam, die Kommunikationspartner auf das Wurzelzertifikat hinzuweisen. Das kann bei Mails im Signaturtext zusammen mit Name und Adresse geschehen, in einem Hinweistext auf der Frontseite des Web-Auftrittes oder in der Dokumentation. Verwenden Sie die obige DFN-Webadresse für den Bezug der Zertifikate.

 

Sie dürfen aber auch einfach einen Verweis auf dieses Dokument anbringen, damit sich die Kommunikationspartner auch über die Hintergründe Ihrer Sicherheitseinstellungen informieren können:

Der Weg zum eigenen Zertifikat

 

Der Antrag

Bevor Sie ein Zertifikat beantragen, sollten Sie die obigen Richtlinien und Erklärungen zum Zertifizierungsbetrieb durchlesen. Dort werden die Regeln festgelegt, nach denen die einzelnen Zertifizierungsinstanzen arbeiten. Neben den Richtlinien (CP, CPS) der DFN-PCA, kommen auch die lokalen Besonderheiten der WHZ CA und ihrer RA zur Geltung.

 

Das weitere Vorgehen hängt davon ab, ob Sie ein

  • persönliches X.509-Zertifikat zum Unterschreiben und/oder verschlüsseln von Mails nach dem S/MIME-Verfahren
    oder ein
  • X.509 Serverzertifikat benötigen.

Es liegen gesonderte Beschreibungen vor für das

sowie das

In beiden Fällen wird die Antragstellung in einfacher Weise über die folgende Web-Adresse der WHZ CA bei der DFN-PCA durchgeführt:

Im Falle eines Serverzertifikates kommt hinzu, dass Sie das Schlüsselpaar und den dazugehörenden Certificate Signing Request (CSR) selbst erzeugen müssen, üblicherweise mit den Mitteln, die der Server bietet (z.B. OpenSSL). Während der Antragstellung wird der CSR dann an die WHZ CA übertragen.

 

Die Schlüssellänge beträgt grundsätzlich 2048 bit.

 

Verwenden Sie bitte auf der Eingabemaske keine nationalen Sonderzeichen.

Ersetzen Sie nach folgenden Regeln:

  • erlaubte Zeichen: a-z  A-Z  0-9  '  (  )  +  ,  -  .  /  :  =  ?  Leerzeichen
  • deutsche Sonderzeichen ersetzen Sie durch die deutsche Umschreibung (ä -> ae, Ä -> Ae, ß -> ss usw.)
  • andere Sonderzeichen ersetzen Sie durch den betreffenden Buchstaben ohne Akzent

 

Die Antragstellung endet mit dem Ausdruck eines Formulares, das Sie bitte komplett ausgefüllt und unterschrieben zur RA mitbringen.

Wir bitten dringend um eine Terminabsprache mit der RA per EMail oder Telefon (Sprechzeiten beachten!).

 

Achtung:

Zertifikatanträge, die älter als drei Monate sind, werden von uns bei der nächsten Routinekontrolle gelöscht.

 

 

Die persönliche Identifizierung

 

In der RA weisen Sie sich anhand eines gültigen Personalausweises oder Reisepasses gegenüber der Kontaktperson aus.

 

Falls Sie ein Server-Zertifikat beantragen, bringen Sie bitte ein Bestätigungsschreiben Ihres Fachbereiches mit, aus dem hervorgeht, dass Sie Administrator des betreffenden Servers sind (s. Formulierungshilfe).

 

Ihr Antrag wird dann umgehend genehmigt, sofern kein Hinderungsgrund vorliegt. Die WHZ CA sendet Ihnen das Zertifikat in der Regel dann innerhalb weniger Minuten per EMail zu.

 

 

Die Verlängerung der Zertifikate

 

Wie weiter oben schon erwähnt gelten

  • die persönlichen Zertifikate 3 Jahre ab Genehmigung
  • die Serverzertifikate 5 Jahre ab Genehmigung

Als Zertifikatnehmer/in erhalten sie von der DFN-PKI 30 und 15 Tage vor Ablauf des Zertifikats eine Email, in denen Sie gewarnt werden, dass das Zertifikat abläuft. In der Mail ist eine Beschreibung enthalten, was zu tun ist.

 

Kurz zusammengefasst läuft die Verlängerung folgendermaßen ab:

 

Methode 1 (mit Unterschrift, für beide Zertifikatstypen anwendbar):

 

  1. Sie stellen auf den Webseiten der WHZ CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages.
  2. Das Antragsformular drucken Sie aus wie beim vorigen mal, tragen die fehlenden Angaben von Hand ein und unterschreiben.
  3. Sie senden das unterschriebene Antragsformular per Hauspost an die RA oder legen es persönlich nach Absprache vor. Wenn Sie Serverzertifikate erneuern wollen, legen Sie bitte auch eine Bescheinigung der beschäftigenden Einrichtung vor, dass Sie berechtigt sind, die betreffenden Server zu verwalten. Beim Postversand vergleicht die RA die Unterschrift mit der des alten Antrages und stellt fest, ob der/die Antragsteller/in noch berechtigt ist, ein Zertifikat zu erhalten.
  4. Bei positivem Ergebnis genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt.
  5. Bei negativem Ergebnis nimmt die RA mit dem/der Antragsteller/in Kontakt auf.

 

Methode 2 (mit Zertifikat, nur für Benutzer-Zertifikate):

  1. Sie stellen auf den Webseiten der WHZ CA einen neuen Antrag und übernehmen dabei die Daten des alten Antrages.
  2. Sie senden eine Mail an die RA mit der Bitte um Verlängerung und unterzeichnen diese Mail mit dem Zertifikat, dessen Verlängerung Sie beantragt haben. Ihr Zertifikat sollte zu diesem Zeitpunkt natürlich noch gültig sein.
  3. Bei positivem Ergebnis der Zertifikatsprüfung genehmigt die RA den Antrag. Das neue Zertifikat wird erstellt und ausgeliefert, wie gehabt.
  4. Bei negativem Ergebnis der Zertifikatsprüfung nimmt die RA mit dem/der Antragsteller/in Kontakt auf.

Das eigtl. naheliegende Konzept, zu einem existierenden Schlüssel einfach ein neues Zertifikat herzustellen, stößt spätestens bei Microsoft-Anwendungen auf Hindernisse, da Sie dort nicht so ohne weiteres ein neues Zertifikat zu einem alten Schlüssel importiert bekommen. Daher unsere Empfehlung, einfach ein neues Zertifikat mit neuem Schlüssel zu erstellen.

 

 

Sperren eines Zertifikates

 

Sie können Ihr Zertifikat sperren lassen, wenn Sie befürchten, daß Ihr geheimer Schlüssel ausspioniert wurde, und das Zertifikat von unberechtigten Personen genutzt werden könnte. Ein anderer möglicher Grund ist, dass Ihr geheimer Schlüssel verloren gegangen ist, z.B. nach Absturz und Neuinstallation Ihres Rechners, auf dem der private Schlüssel installiert war.

 

Durch das Sperren wird ein Zertifikat auf die sogenannte Sperrliste (CRL- Certificate revocation list) gesetzt. Diese enthält die Seriennummern von Zertifikaten, die vor Ablauf ihrer regulären Gültigkeit für ungültig erklärt wurden.

 

Zum Sperren besuchen Sie die dafür vorgesehene Webseite des DFN-Vereins und geben dort die Seriennummer des Zertifikates und auf Wunsch den Grund für die Sperrung ein. Die Angabe eines Grundes hilft beim späteren Nachvollziehen des Vorganges.

 

Die Seriennummer finden Sie in der Mail, mit der Ihnen das Zertifikat von der Zertifizierungsstelle zugeschickt wurde. Falls Sie die Seriennummer nicht mehr finden können, wechseln Sie auf der Webseite zu "Zertifikat suchen" und geben die Mailadresse (bei Benutzer-Zertifikaten) oder den Servernamen (bei Server-Zertifikaten) ein. Sie erhalten eine Liste von Seriennummern der Zertifikate, auf die die Suchanfrage passt.

 

Nachdem Sie die Seriennummer und evtl. den Grund abgeschickt haben werden Sie nach der PIN gefragt, die Sie bei der Beantragung angegeben haben. Ohne diese PIN sind Sie nicht in der Lage, die Sperrung durchzuführen und müssen die Hilfe der Registrierungsstelle in Anspruch nehmen.

 

Wenn Ihr Antrag zur Sperrung gelingt, wird die Registrierungsstelle automatisch informiert und schließt den Sperrvorgang mit der Genehmigung ab.

 

Anschließend erscheint das Zertifikat mit Seriennummer in den öffentlich zugänglichen Sperrlisten des DFN-Vereins, kann eingesehen und von den diversen Web-Clients (Browser, Mailprogramme usw.) automatisch ausgelesen werden.

 

 

Installieren der Sperrliste

 

Sie sollten sich einmal mit Ihrem Browser auf die Sperrlisten-Seite begeben und die Liste installieren. Danach ist der Browser in der Lage, fremde Zertifikate auf Sperrung zu überprüfen. Der Browser aktualisiert automatisch die Liste in konfigurierbaren Abständen.

 

Um die Sperrliste in den Zertifikats-Einstellungen zu importieren

Ansprechpartner

Nutzerservice
+49 375 536 1215

Andreas Funk
+49 375 536 1223