Information PKI/Zertifikate

PKI und Digitale Zertifikate

Die Universität Kassel beteiligt sich mit einer Zertifizierungsinstanz  (UniKassel-CA) an der DFN-PKI Hierarchie.

BITTE BEACHTEN SIE:
Der Geltungsbereich der UniKassel-CA beschränkt sich auf Angehörige der Universität Kassel bzw. auf die Domain uni-kassel.de und deren Subdomains.

Wozu benötigt man Zertifikate?

Ein digitales Zertifikat ist gewissermaßen das Äquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten private und öffentliche Schlüssel und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen. Der private Schlüssel bleibt beim Nutzer selbst und darf nie herausgegeben werden.

Nutzerzertifikate

Nutzerzertifikate sind personenbezogene Zertifikate, mit denen sich Nutzende eindeutig identifizieren können. Diese Zertifikate können in vielen Mailprogrammen und Browsern z.B. zum Signieren und Verschlüsseln von E-Mails genutzt werden.

Serverzertifikate

Serverzertifikate dienen der Identifizierung eines bestimmten Servers. Das heißt, der Server muss sich auch gegenüber den Nutzenden "ausweisen" und beweisen, dass er wirklich derjenige Server ist, der er zu sein vorgibt.

Gültigkeit des Zertifikats

Bei einem gültigen Zertifikat muss/müssen u.a.

  • Die Besitzenden mit dem Server übereinstimmen, mit dem man die Verbindung aufbauen will.
  • Der vollständige Domainname (z.B. www.uni-kassel.de) mit dem Domainnamen übereinstimmen, der im Zertifikat genannt wird.
  • Der Zugriff innerhalb des Gültigkeitszeitraumes erfolgen, d.h. das Zertifikat darf nicht abgelaufen sein.
  • Die Zertifikatskette vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann ein Zertifikat nicht verifiziert werden.
  • Überprüft werden, ob das Zertifikat widerrufen wurde. Dazu muss geprüft werden, ob das Zertifikat auf der Sperrliste der Zertifizierungsinstanz steht.

Was ist ein Wurzelzertifikat?

Am oberen Ende der Hierarchie/Kette von Zertifikaten steht ein Wurzelzertifikat (engl. top-level certificate). Wurzelzertifikate müssen in den Anwendungsprogrammen (z.B. in Ihrem Browser) installiert sein, damit die Anwendungsprogramme die Hierarchie/Kette von Zertifikaten überprüfen können. Die meisten Anwendungsprogramme bringen bereits vorintegrierte Wurzelzertifikate für kommerzielle Zertifizierungsinstanzen mit. Dies wird in Zukunft auch für Wurzelzertifikate der DFN-PCA möglich sein.

Wurzelzertifikate sollten Sie allerdings nur dann importieren/installieren, wenn Sie der entsprechenden Zertifizierungsinstanz vertrauen. Bei den vorintegrierten Wurzelzertifikaten haben Sie diese Entscheidungsfreiheit nicht mehr.

Wurzelzertifikate importieren

Das Importieren der Wurzelzertifikate ist ein zwingend notwendiger Vorgang, damit die Gültigkeit und Vertrauenswürdigkeit der Zertifikate überprüft werden kann.

Anleitungen zum Einbinden der Wurzelzertifikate für verschiede Betriebssysteme finden Sie unter Zertifikate für WLAN/VPN Nutzung.

Warum müssen Zertifikatswarnungen ernst genommen werden?

Fast jeder dürfte schon einmal eine Zertifikats-Warnung gesehen haben. Gibt es eine Warnmeldung vom Webbrowser, handelt es sich um einen Betrugsversuch oder um eine Fehlkonfiguration des Servers oder Ihres Webbrowsers. In jedem Fall sollten Sie nach der Ursache für die Warnung suchen. Geben Sie auf keinen Fall vertrauliche Informationen wie Passworte oder Kontoinformationen ein! Fragen Sie ggf. im ITS oder bei Ihrem zuständigen Systemadministrator nach.

(opens enlarged image)

Typische Warnmeldungen betreffen:

  • Das Zertifikat ist abgelaufen (engl. expired), d.h. der Zeitraum der Gültigkeit ist verstrichen.

  • Das Zertifikat ist für einen anderen Webserver ausgestellt, d.h. z.B. www.xyz.de präsentiert ein Zertifikat von www.abc.de.

  • Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche Zertifikate sind bestenfalls für Testzwecke geeignet.

  • Das Zertifikat wurde widerrufen.

  • Die Zertifizierungsinstanz (engl. Certification Authority), die das Zertifikat ausgestellt hat, ist dem Browser nicht bekannt. Dies kann bedeuten, dass hier ein Wurzelzertifikat fehlt, um die Zertifikatskette überprüfen zu können. Es könnte sich allerdings auch um einen Betrugsversuch handeln.

In jedem Fall sollten Sie die Zertifikatswarnung lesen, denn Sie gibt in der Regel einen guten Hinweis auf die Ursache.

Weitere Informationen erhalten Sie auf den Seiten des DFN-Vereins.

Neues Verfahren für Nutzerzertifikate

Bitte beachten Sie das neue Verfahren zum Beantragen von Nutzerzertifikaten.