Fraunhofer DFN-PKI 2016

Die Fraunhofer DFN-PKI 2016 war von Juli 2016 bis August 2023 dafür zuständig, Zertifikate für Fraunhofer-Mitarbeitende (auf Smartcards) sowie für Server und Services (Softtoken) zu erstellen.

 

Die Fraunhofer DFN-PKI 2016 hatte die bisher verwendete Fraunhofer DFN-PKI 2012 abgelöst. Wesentlicher Grund war, dass die Zertifikate der bis dahin verwendeten Fraunhofer DFN-PKI ab Juli 2016 nicht mehr die maximal zulässige Laufzeit (drei Jahre bei Smartcards bzw. 38 Monate für Server und Service-Zertifikate) besitzen konnten, da das Wurzelzertifikat dieser PKI - das Deutsche Telekom Root CA 2 - Zertifikat Anfang Juli 2019 abgelaufen ist. Zertifikate der untergeordneten Zertifizierungsstellen und der End-Entities (also der Smartcards und Server) können nie länger als das jeweils übergeordnete Zertifikat gültig sein, um Probleme bei der Gültigkeitsprüfung nach dem Schalenmodell von Zertifikaten zu vermeiden.

Der DFN-Verein hatte deshalb eine neue Zertifizierungsstellen-Hierarchie unterhalb eines neuen Wurzelzertifikats der T-Systems Enterprise Services GmbH, nämlich dem T-Telesec GlobalRoot Class 2 CA-Zertifikat, aufgebaut.

Bei dem T-Telesec GlobalRoot Class 2 CA-Zertifikat handelt es sich um ein RSA 2048 Bit Wurzelzertifikat mit dem Signaturalgorithmus sha256RSA, das ebenso wie das Deutsche Telekom Root CA 2 Zertifikat in allen aktuellen Betriebssystemen und Browsern standardmäßig vorinstalliert ist. Es besitzt einen noch lange laufenden Gültigkeitszeitraum und garantiert auch die automatische Anerkennung bzw. Vertrauensstellung aller untergeordneten Zertifikate im Außenraum.

 

Unter der T-Telesec GlobalRoot Class 2 Wurzelzertifizierungsstelle wurde die neue DFN-Verein Certification Authority 2 CA ausgestellt, welche wiederum für die zahlreichen deutschen Forschungseinrichtungen, die dem DFN angehören, neue CAs ausstellte. So hatte auch Fraunhofer zwei neue Zertifizierungsstellen erhalten, die Fraunhofer Service CA – G02 und die Fraunhofer User CA – G02.

 

Ab Anfang Juli 2016 wurden neue Zertifikate für Server und Services (E-Mail-Dienste), Endgeräte sowie Code-Signing nur noch von der Fraunhofer Service CA – G02 ausgestellt. Ab Mitte Juli 2016 wurden auch Zertifikate für Fraunhofer-Mitarbeitende (Smartcards) nur noch aus der Fraunhofer User CA – G02 erstellt. Mit dem Wechsel auf die Fraunhofer User CA - G02 betrug die Laufzeit der Zertifikate für Fraunhofer-Mitarbeitende auf Smartcards nun auch maximal fünf statt wie in der Vergangenheit üblich drei Jahre.

 

Die Fraunhofer DFN-PKI 2016 wurde durch die Fraunhofer DFN Community PKI 2022 bzw. Zertifizierungsstellen bei Sectigo / Géant bei Fraunhofer abgelöst. Seit Ende 2023 werden aus ihr keine Zertifikate mehr erstellt, es sind allerdings noch bis 2028 gültige Zertifikate, sowohl auf Fraunhofer-Smartcards als auch für Mailing-Listen / Funktionsadressen sowie für Code Signing im Umlauf, die von der Fraunhofer DFN-PKI 2016 ausgestellt wurden.

 

Zielgruppen:

• alle Fraunhofer-Mitarbeitende. Sie erhalten einen Mitarbeiterausweis in Form einer multifunktionalen Smartcard, mit der zahlreiche Vorgänge abgesichert werden können:
  • sichere E-Mail (Verschlüsselung und Signatur)
  • Single Sign-on an diversen Fraunhofer-Diensten, Windows-Logon und VPN mit Smartcard anstelle von Benutzername / Passwort
  • Schutz von Notebooks mit Hilfe der Smartcard
  • elektronische Signatur von Dokumenten / Anträgen
  Die Multifunktionalität wurde erweitert durch zusätzliche Nutzungsmöglichkeiten über einen optionalen Magnetstreifen und / oder RFID-Chip (z. B. für Gebäude- / Raumzugang, Bezahlsysteme etc.).

• Fraunhofer-Institute und Einrichtungen, die für dienstliche Zwecke Zertifikate für Systeme bzw. Services benötigen, die sich im Besitz der Fraunhofer-Gesellschaft befinden bzw. von ihr betrieben werden. Es wurden Zertifikate für folgende Anwendungssysteme bzw. -zwecke angeboten:
  
  • TLS Zertifikate für Web-, E-Mail- und GRID-Server, VPN-Geräte, Domain-Controller
  • Authentisierungszertifikate für Endgeräte
  • Zertifikate für Verschlüsselung und ggfs. Signaturfunktionalität für E-Mail-Basisdienste (Funktionsadressen) und Mailing-Listen
  • Zertifikate für Code Signing

Sicherheitsniveau: hoch

• Mitarbeitende mussten sich bei der Abholung ihrer Smartcard durch ein amtliches Ausweisdokument mit Lichtbild identifizieren
• kryptographisches Schlüsselmaterial von Mitarbeitenden ist besonders geschützt, da es auf einer Smartcard vorliegt
• Die Antragstellung für Zertifikate für Server und Services setzte den Besitz einer Fraunhofer-Smartcard voraus, die nur nach persönlicher Identifikation mit Hilfe eines amtlichen Ausweisdokuments mit Lichtbild ausgegeben wurde.
• unmittelbare Überprüfbarkeit der Zertifikate durch Außenstehende über die Zertifizierung durch die T-Systems

Certificate Policy (CP) und Certification Practice Statement (CPS):

• Weitere Details siehe Policies der DFN-PKI.

Zertifizierungsstelle(n):

 

In dieser PKI sind die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten).

• Die Fraunhofer User CA - G02 hat zwischen Mitte Juli 2016 und Ende August 2023 Fraunhofer-Mitarbeitende zertifiziert und für diese Smartcards ausgegeben.
• Die Fraunhofer Service CA - G02 hat zwischen Anfang Juli 2016 und Anfang August 2023 (TLS-Zertifikate nur bis Anfang Dezember 2022) Zertifikate für Server und Services (E-Mail-Basisdienste), Endgeräte und Code-Signing ausgegeben.
• Beide CAs sind der DFN-Verein Certification Authority 2 untergeordnet, von der sie ihr Zertifikat erhalten haben.
• Die DFN-Verein Certification Authority 2 CA ist wiederum der T-Telesec GlobalRoot Class 2 CA untergeordnet.