Sicherheitszertifikate im ITS

Darstellung

Dieser Arbeitsbereich soll die Frage beantworten, wie die im Rechenzentrum der Universität Augsburg betriebene Zertifizierungsinstanz (RZ-CA) abgelöst werden kann.

SSL-Zertifikate kommen immer dann ins Spiel, wenn die Datenübertragung vertraulich erfolgen soll oder die Herkunft der Daten überprüft werden muß. Eine typische Internetanwendung, die ein hohes Maß an Sicherheit bietet und daher Krypthographie einsetzt, ist https. Weiterhin werden SSL-Zertifikate verwendet, um E-Mails zu verschlüsseln oder digital zu signieren. Das Arbeitsfeld 6 sieht den Aufbau einer Zertifizierungsinstanz (CA) vor, die nach den Richtlinien der CA des DFN-Vereins (DFN-PCA) zertifiziert werden soll. Die aufzubauende Zertifizierungsinstanz der Universität Augsburg (RZ-CA) soll SSL-Zertifikate sowohl für Server als auch für Benutzer ausstellen.

Arbeitsschritte und Ergebnisse

Die Gültigkeit der selbstzertifizierten CA des Rechenzentrums der Universtiät Augsburg endete am 08. März 2005. Am 25. Januar 2005 wurde beim DFN-CERT hinsichtlich der Zertifizierung einer eigenen CA angefragt und zwei Wochen später, am 09. Februar 2005, der Certificate Signing Request (CSR) an die DFN-PCA verschickt. Nach der erfolgte Identifizierung eines RZ-CA Mitarbeiters am 15. Februar 2005 in Stuttgart und der Fertigstellung und Annahme der finalen Version der RZ-CA Policy am 17. Februar 2005 erfolgte die Zertifizierung der RZ-CA durch die DFN-PCA am 18. Februar 2005.

Bis zum 30. September 2006 wurden von der RZ-CA insgesamt 87 Zertifikate ausgestellt. Monatlich wird eine Certificate Revocation List (CRL) auf den Webseiten des Rechenzentrums veröffentlicht. Am angegebenen Ort finden sich auch sämtliche relevanten Daten zur RZ-CA, z.B. Anleitungen für Anwender und Administratoren sowie eine Webschnittstelle zur Erzeugung RZ-CA konformer CSRs. Um zu verhindern, dass die Gültigkeit eines SSL-Zertifikats unbemerkt verstreicht, werden die CA-Administratoren frühzeitig und wiederholt mit einer E-Mail gewarnt.

Das Rechenzentrum bereitet gegenwärtig die Auslagerung der eigenen, seit Februar 2005 erfolgreich betriebenen Zertifizierungsinstanz an den DFN-Verein vor. In naher Zukunft stehen den Angehörigen der Universität Augsburg damit nicht nur Server- sondern auch Nutzerzertifikate zur Verfügung, die auf ein Wurzelzertifikat zurückgehen, das im Zertifikatsspeicher von Windows enthalten ist.