Funktionsweise der PKI
Bei der PKI der FAU handelt es sich um eine managed PKI, betrieben durch den DFN-Verein, welche eine Aussenstelle (Registration Authority - RA) an der FAU betreibt. Die Antraege werden per WWW-Schnittstelle gestellt.
Ein Antragsteller muss fuer ein Zertifikat einen sog. Zertifikatantrag durch ein SSL-Werkzeug erstellen. Das kann am besten auf dem spaeteren Zielsystem erfolgen. Dieser Zertifikatsantrag (CSR) wird dann in die WWW-Schnittstelle reinkopiert und die notwendigen Felder ausgefuellt. Ist der Antrag im WWW komplett, so wird durch das Versenden ein Formular als PDF erstellt, welches unterschrieben werden muss un der RA im RRZE vorgelegt wird.
Die dortigen Administratoren der CA entscheiden dann, ob der Antrag den Bedingunen der PKI entspricht und koennen den Antrag genehmigen. Damit wird aus dem Zertifikatsantrag ein Zeritifikat, welches dem Antragsteller zugeschickt wird.
Eingebundende Stammzertifikate
Damit die Echtheit von Zertifikaten durch uebergeordnete Instanzen bewiesen werden kann, muessen das zu pruefende Zertifikat durch Zertifkate, welche höher in der Hierarchie sind bestätigt werden. Diese Zertifikatskette darf nicht unterbrochen werden.
Das erste Glied in dieser Kette ist jeweils die Verankerung des Zertifikats im Browser. Das massgebliche Stammzertifkat der Deutschen Telekom ist seit geraumer Zeit im Microsoft Certificate Store enthalten und steht daher allen Windowsapplikationen zur Verfuegung.
Da viele Applikationen sich allerdings nicht an zentrale Zertifikatsspeicher halten sondern selbst ihre Zertifkate verwalten wollen muss dann in diesen das jeweilige Stammzertifikat auch eingebunden sein. Das prominenteste Beispiel hierbei ist die Mozilla Anwendungssuite.
zum Seitenanfang
Navigation ausblenden
