- Zuletzt aktualisiert: Freitag, 02. Mai 2025 15:47
DFN-Verein Community PKI 2022
Fraunhofer greift auf Zertifizierungsstellen des DFN-Vereins zurück. Der DFN-Verein hat aufgrund externer Anforderungen seine global anerkannten Zertifizierungsstellen der Fraunhofer DFN-PKI 2016, die in der Historie von Fraunhofer genutzt wurden, ersetzt.
Nachfolger ist die durch den DFN-Verein selbst betriebene, allerdings nicht mehr global anerkannte DFN-Verein Community PKI 2022. Von dieser beziehen zahlreiche Einrichtungen der deutschen Forschungs-Community Zertifikate.
Fraunhofer nutzt die DFN-Verein Community PKI 2022 seit Ende August 2023 zunächst für Zertifikate der Fraunhofer-Mitarbeitenden und in Folge auch für Mailing-Listen und Funktionspostfächer.
Die DFN-Verein Community-PKI 2022 besitzt das selbst-signierte Wurzelzertifikat DFN-Verein Community Root CA 2022. Untergeordnet sind diesem zwei eigens für Fraunhofer eingeführte Sub-CAs: Die Fraunhofer User CA 2022 und die Fraunhofer Service CA 2022.
Bitte beachten Sie die weiterführenden Hinweise und technischen Informationen zu Konsequenzen der fehlenden Anerkennung der Signatur- und Verschlüsselungs-Zertifikate im Außenraum der Fraunhofer-Gesellschaft.
Zielgruppen:
- Alle Fraunhofer-Mitarbeitenden. Sie erhalten einen Mitarbeiterausweis in Form einer multifunktionalen Smartcard, mit der zahlreiche Vorgänge abgesichert werden können:
- sichere E-Mail (Verschlüsselung und Signatur)
- Single Sign-on an diversen Fraunhofer-Diensten, Windows-Logon und VPN mit Smartcard anstelle von Benutzername / Passwort
- Schutz von Notebooks mit Hilfe der Smartcard
- elektronische Signatur von Dokumenten / Anträgen
- Fraunhofer-Institute und Einrichtungen, die für dienstliche Zwecke Zertifikate für Systeme bzw. Services benötigen, die sich im Besitz der Fraunhofer-Gesellschaft befinden bzw. von ihr betrieben werden. Derzeit werden Zertifikate für folgende Anwendungssysteme bzw. -zwecke angeboten:
- TLS-Zertifikate für spezielle Anwendungszwecke
- Zertifikate für Verschlüsselung und ggfs. Signaturfunktionalität für E-Mail-Basisdienste (Funktionsadressen und Mailing-Listen)
- Authentisierungszertifikate für Endgeräte
- Zertifikate für Code Signing
Sicherheitsniveau: hoch (aber ohne globale Anerkennung)
- Mitarbeitende müssen sich bei der Abholung ihrer Smartcard durch ein amtliches Ausweisdokument mit Lichtbild identifizieren
- kryptographisches Schlüsselmaterial von Mitarbeitenden ist besonders geschützt, da es auf einer Smartcard vorliegt
- Die Antragstellung für Zertifikate für Server und Services setzt den Besitz einer Fraunhofer-Smartcard voraus, die nur nach persönlicher Identifikation mit Hilfe eines amtlichen Ausweisdokuments mit Lichtbild ausgegeben wird.
- Vor der Verwendung der Zertifikate dieser PKI muss einmalig das Wurzelzertifikat importiert werden, da dieses nicht in den Browsern bzw. Betriebssystemen enthalten ist. Dies ist bei zahlreichen DFN-Teilnehmern der deutschen Forschungslandschaft in der Regel gegeben.
Certificate Policy (CP) und Certification Practice Statement (CPS):
Die DFN-Verein Community PKI besitzt keine Certificate Policy, sondern es existiert nur ein Certification Practice Statement (CPS)
Zertifizierungsstelle(n):
In dieser PKI sind die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten der DFN-Verein Community PKI 2022).
- Die Fraunhofer User CA 2022 zertifiziert ab September 2023 Fraunhofer-Mitarbeitende und gibt für diese Smartcards aus.
- Die Fraunhofer Service CA 2022 stellt ab Dezember 2022 Zertifikate für Server und Services aus, z. B. für Endgeräte und Code-Signing.
- Beide CAs sind der DFN-Verein Community Root CA 2022 untergeordnet, von der sie ihr Zertifikat erhalten haben.
