Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- sonstige_dienste:ssl-zertifikate:zertifikatsbeantragung [15:12 22. July 2020 ] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden qn17
+++ sonstige_dienste:ssl-zertifikate:zertifikatsbeantragung [09:52 15. December 2023 ] (aktuell) – [Server-Zertifikate] Christian Marg
@@ Zeile 3: / Zeile 3: @@
 Um in der digitalen Welt sinnvoll etwas unterschreiben zu können, muss jemand bestätigen, dass eine Unterschrift einer bestimmten Person gehört. Diese Aufgabe übernimmt eine [[WPDE>Zertifizierungsstelle]], auch CA((Certification Authority)) genannt: Sie stellt ein Zertifikat aus, welches zu einem geheimen Schlüssel (der Unterschrift) passt und Informationen darüber enthält, wem die Unterschrift gehört.
-Damit die ausgestellten Zertifikate glaubwürdig sind, ist vertraglich geregelt, wer unter welchen Bedingungen ein Zertifikat bekommt. Diese Verträge kann man auf der [[https://pki.pca.dfn.de/tu-clausthal-ca-g2/pub/|Webseite der TU-Clausthal-CA]] unter dem Punkt "DFN-PKI-Policy" bzw. "Anwender-Policy" ansehen.
+Damit die ausgestellten Zertifikate glaubwürdig sind, ist vertraglich geregelt, wer unter welchen Bedingungen ein Zertifikat bekommt.
-Da der Betrieb einer Zertifizierungsstelle mit einer großen Verantwortung und hohem Aufwand einhergeht, nutzen wir an der TU Clausthal das Angebot des DFN-Vereins, eine ausgelagerte Zertifizierungsstelle für uns zu betreiben. Um bei der Beantragung und Erstellung neuer Zertifikate unnötig lange Wege zu vermeiden, sind einige Mitarbeiter des Rechenzentrums dazu berechtigt worden, Zertifikatsanträge nach einer Identitätskontrolle zu genehmigen und die Generierung eines Zertifikates zu beauftragen.
+Da der Betrieb einer Zertifizierungsstelle mit einer großen Verantwortung und hohem Aufwand einhergeht, nutzen wir an der TU Clausthal sowohl ein Angebot des DFN-Vereins als auch den allgemein Verfügbaren Dienst [[https://letsencrypt.org/de/|"Let's Encrypt"]]. Um bei der Beantragung und Erstellung neuer Zertifikate unnötigen Aufwand zu vermeiden, erfolgt die Zertifikatserstellung automatisiert.
 ===== Arten von Zertifikaten und deren Einsatzzweck =====
-Es gibt verschiedene Arten von Zertifikaten. Von der [[https://pki.pca.dfn.de/tu-clausthal-ca-g2/pub/|TU Clausthal CA]] können derzeit folgende Zertifikate ausgestellt werden:
+Es gibt verschiedene Arten von Zertifikaten. Über das Angebot des DFN-Vereins werden im Allgemeinen Nutzer-Zertifikate erstellt, während für Server-Zertifikate [[https://letsencrypt.org/de/|"Let's Encrypt"]] empfohlen wird.
 ==== Nutzer-Zertifikate ====
 Nutzer-Zertifikate bestätigen die Identität einer Person bzw. einer bestimmten Gruppe von Personen. Sie werden vor allem verwendet, um E-Mails zu unterzeichnen und damit sicher zu stellen, dass eine E-Mail auch tatsächlich vom vermeintlichen Absender verfasst wurden. Leider ist das bei E-Mails nicht automatisch sichergestellt: Genauso wie Sie auf einem Briefumschlag eine falsche Absenderadresse angeben können, können E-Mails unter falschem Absender verschickt werden. Während man zwar vielleicht am Inhalt der E-Mail feststellen kann, ob es sich um den richtigen Absender handelt, bekommt man durch eine digitale Unterschrift größere Sicherheit: Neben der Identität des Absenders kann man auch noch prüfen, ob der Nachrichtentext verändert wurde.
-Eine weitere Möglichkeit beim Einsatz von Nutzer-Zertifikaten ist, dass man den Inhalt einer E-Mail verschlüsselt vom Absender zum Empfänger übermittelt. Dadurch wird die Vertraulichkeit der Nachricht gewahrt.
 Neben E-Mails können auch z.B. PDF-Dokumente digital unterschrieben werden.
@@ Zeile 21: / Zeile 19: @@
 Des Weiteren können Nutzer-Zertifikate auch für die Anmeldung an Webseiten (z.B. SAP-System) verwendet werden.
+Eine weitere Möglichkeit beim Einsatz von Nutzer-Zertifikaten ist, dass man den Inhalt einer E-Mail verschlüsselt vom Absender zum Empfänger übermittelt. Dadurch wird die Vertraulichkeit der Nachricht gewahrt. Hier ist allerdings wichtig, dass die E-Mail nur mit dem entsprechenden Zertifikat wieder gelesen werden kann - es muss also aufbewahrt werden, selbst wenn es abgelaufen ist. Außerdem ist das Übergeben von E-Mails an einen Nachfolger im Amt nicht ohne weiteres möglich, weil sie an den Empfänger persönlich verschlüsselt wurden.
 ==== Server-Zertifikate ====
-Ein Server-Zertifikat bestätigt die Echtheit eines Servers. Wenn Sie z.B. den [[https://webmail.tu-clausthal.de|Webmail-Dienst der TU-Clausthal]] aufrufen, prüft ihr Browser anhand eines Zertifikats, ob sich der richtige Server gemeldet hat. Das ist gut und wichtig, weil sie dort ja schließlich ihren Benutzernamen und Ihr Passwort eintragen.
+Ein Server-Zertifikat bestätigt die Echtheit eines Servers. Wenn Sie z.B. den [[https://exchange.tu-clausthal.de|Webmail-Dienst der TU-Clausthal]] aufrufen, prüft ihr Browser anhand eines Zertifikats, ob sich der richtige Server gemeldet hat. Das ist gut und wichtig, weil sie dort ja schließlich ihren Benutzernamen und Ihr Passwort eintragen.
-Weitere Informationen zu Server-Zertifikaten finden Sie auf der Seite [[sonstige_dienste:ssl-zertifikate:server-zertifikate:allgemeine-informationen-server-zertifikate|Allgemeine Informationen zu Server-Zertifikaten]].
+Zertifikate, die von Zertifizierungsstellen wie [[https://letsencrypt.org/de/|Let's Encrypt]] erstellt werden, werden automatisch von den Nutzerprogrammen akzeptiert. Aufforderungen zur manuellen Überprüfung von Zertifikaten werden nicht mehr angezeigt.
 ===== Technische Vorgehensweise =====
-    * Beim Erzeugen des Zertifikates per Web-Browser wird ein privater Schlüssel und ein öffentlicher Schlüssel generiert. Während der private Schlüssel im Zertifikatsspeicher der Anwendung oder des Systems liegt, wird der öffentliche Schlüssel über die Registrierungsstelle im Rechenzentrum an die TU Clausthal CA weitergereicht und signiert. Damit erhalten Sie ein X.509-basiertes Zertifikat, mit dem Sie eine Email mit [[wpde>S/MIME|S/MIME-Content]] erzeugen können, also einen verschlüsselten Mail-Text incl. Anhänge erzeugen können. Email-Clients wie Mozilla Thunderbird und MS Outlook beherrschen dieses Verschlüsselungsverfahren.
+  * Beim Erzeugen des Zertifikates auf der Webseite der CA wird ein privater Schlüssel und ein signierter öffentlicher Schlüssel generiert und ihnen zum Herunterladen bereitgestellt. Damit erhalten Sie ein X.509-basiertes Zertifikat, mit dem Sie eine E-Mail mit [[wpde>S/MIME|S/MIME-Content]] erzeugen können, also einen verschlüsselten Mail-Text incl. Anhänge erzeugen können. E-Mail-Clients wie Mozilla Thunderbird und MS Outlook beherrschen dieses Verschlüsselungsverfahren.
-    * Um ein User-Zertifikat registriert bzw. signiert zu bekommen, muss die Identität der beantragenden Person anhand eines gültigen Lichtbildausweises überprüft werden. Dazu lesen Sie bitte unter "[[start#akkreditierte_personen|Akkreditierte Personen]]" weiter.
+  * Um ein Nutzer-Zertifikat zu bekommen, muss die Identität der beantragenden Person anhand ihres Benutzernamens und Passworts überprüft werden. Dazu folgen Sie bitte der Anleitung [[sonstige_dienste:ssl-zertifikate:nutzer-zertifikate:beantragung-nutzer-zertifikat]].
-    * [[wpde>Asymmetrisches_Kryptosystem|Asymmetrischen Verschlüsselungsverfahren]]
+  * Für Server-Zertifikiate sollen in der Regel selbst-aktualisierende Mechanismen ([[https://letsencrypt.org/de/|"Let's Encrypt"]], ACME) eingesetzt werden. Im Umkehrschluss bietet das RZ Server-Zertifikate nur noch in Ausnahmefällen an. Bitte [[support:start|kontaktieren Sie uns, bevorzugt per E-Mail]] falls Sie eine Sonderlösung benötigen, um gemeinsam eine gute individuelle Lösung zu finden.
-    * [[sonstige_dienste:ssl-zertifikate:nutzer-zertifikate:user-zert-mozilla-apps|Nutzer-Zertifikate mit Mozilla-Applikationen unter Linux/Unix (Firefox, Thunderbird)]]
+  * [[wpde>Asymmetrisches_Kryptosystem|Asymmetrischen Verschlüsselungsverfahren]]
-    * [[sonstige_dienste:ssl-zertifikate:nutzer-zertifikate:user-zertifikate_windows|Nutzer-Zertifikate unter Windows (IE8 und Outlook)]]
+  * [[sonstige_dienste:ssl-zertifikate:nutzer-zertifikate:user-zert-mozilla-apps|Nutzer-Zertifikate mit Mozilla-Applikationen unter Linux/Unix (Firefox, Thunderbird)]]
+  * [[sonstige_dienste:ssl-zertifikate:nutzer-zertifikate:user-zertifikate_windows|Nutzer-Zertifikate unter Windows (IE8 und Outlook)]]
-===== Links =====
-    * [[https://pki.pca.dfn.de/tu-clausthal-ca-g2/pub/|TU Clausthal CA Einstiegsseite]]
-    * [[http://www.pki.dfn.de/index.php?id=faqpki|FAQs zu Nutzer- und Server-Zertifikaten]]
 {{tag> [rzmitarbeitende] [dev0]}}