• English (UK)
  • RSS
  • Podcast
  • Drucken
logo
  • Startseite
  • Übersicht: Fraunhofer-PKI
    • Fraunhofer DFN-PKI 2016
    • Fraunhofer DFN-PKI
    • Fraunhofer-PKI Version 2
    • Fraunhofer-PKI Version 1
    • PKI für Fraunhofer Kontakte
  • CA-Zertifikate und Sperrlisten
  • Dienstleistungen
  • Suche
  • Home
  • Übersicht: Fraunhofer-PKI
  • Fraunhofer-PKI Version 2

Fraunhofer-PKI in der Version 2

  • PDF
  • Drucken
Zuletzt aktualisiert: Donnerstag, 28. November 2019 16:35

Fraunhofer-PKI in der Version 2

Ab 2008 wurde die Fraunhofer Corporate PKI - im Folgenden als "Fraunhofer-PKI Version 2" bezeichnet - als Nachfolger der Fraunhofer-PKI Version 1 in den Fraunhofer Instituten und Einrichtungen etabliert. Dazu wurden Smartcards an die Mitarbeiter ausgegeben, um ein hohes Sicherheitsniveau zu gewährleisten, und es wurden Zertifikate für Server und Services erstellt.

 

Die Fraunhofer-PKI Version 2 bot durch die Kooperation mit T-Systems eine deutliche Erleichterung bei der Prüfung von Zertifikaten: Da das so genannte Wurzelzertifikat dieser PKI, nämlich das Deutsche Telekom Root CA 2 Zertifikat, eine in den gängigen Betriebssystemen, Browsern und E-Mail-Clients anerkannte Zertifizierungsstelle ist, waren auch die Zertifikate der Fraunhofer-PKI Version 2 von Außenstehenden direkt überprüfbar.

 

Zunächst wurden von einer zur Fraunhofer-PKI Version 2 gehörenden Zertifizierungsstelle auch Zertifikate für Server und Services (z. B. E-Mail-Dienste), Endgeräte und Code-Signing ausgegeben. Geänderte externe Anforderungen haben jedoch dazu geführt, dass Fraunhofer im Sommer 2012 begonnen hat, eine neue PKI - die Fraunhofer DFN-PKI - aufzubauen und in Betrieb zu nehmen. Bis Ende März 2014 erfolgte die sukzessive Migration aller Zertifikattypen für Server und Services zu einer zur Fraunhofer DFN-PKI gehörenden  Zertifizierungsstelle. Ende September 2014 wurde die Zertifizierungsstelle für Server und Services der Fraunhofer-PKI Version 2 endgültig gesperrt.

 

Im Mai 2014 sind weitere Anforderungen an externe Zertifzierungsstellen mit Browser-integrierter Stammzertizierungsstelle - dies traf auf die Fraunhofer-PKI Version 2 zu - seitens Mozilla in Kraft getreten. Zudem bestand die Notwendigkeit, bis Ende 2016 alle Zertifikate, die den SHA-1 Hashalgorithmus verwenden, auszutauschen, um sie weiterhin im Windows-Umfeld verwenden zu können. Beides führte dazu, dass Fraunhofer ab September 2014 auch Zertifikate für Fraunhofer-Mitarbeiter, also die Zertifikate für die Smartcards, nicht mehr von einer Zertifizierungsstelle aus der Fraunhofer-PKI Version 2 ausstellte, sondern ebenfalls von einer (neuen) zur Fraunhofer DFN-PKI gehörenden Zertifzierungsstelle. Die Sperrung der betreffenden Zertifizierungsstelle für Mitarbeiterzertifikate der Fraunhofer-PKI Version 2 ist dann Ende 2016 erfolgt.

 

Zielgruppen waren:

  • alle Fraunhofer-Mitarbeitende. Sie erhielten einen Mitarbeiterausweis mit Zertifikaten aus dieser PKI in Form einer multifunktionalen Smartcard, mit der zahlreiche Vorgänge abgesichert werden konnten:
    • sichere E-Mail (Verschlüsselung und Signatur)
    • Nutzung des Mitarbeiterportals, etwa für elektronische Zeitaufschreibung, Urlaubsanträge
    • Windows-Logon und VPN mit Smartcard anstelle von Benutzername / Passwort
    • Schutz von Notebooks mit Hilfe der Smartcard
    • elektronische Signatur von Dokumenten / Anträgen
    • ...
    Die Multifunktionalität wurde erweitert durch zusätzliche Nutzungsmöglichkeiten über einen optionalen Magnetstreifen und / oder RFID-Chip (z. B. für Gebäude- / Raumzugang, Bezahlsysteme etc.).

    Aus arbeitsrechtlichen Gründen unterschieden sich die Smartcards für interne und externe Mitarbeiter farblich (grüner bzw. gelber Hintergrund); technisch gab es jedoch keine Unterschiede.
  • zu Fraunhofer gehörende Server und Services (z. B. E-Mail-Dienste), Endgeräte sowie für Code-Signing (Zertifikate in Form von Softtoken)

Sicherheitsniveau: hoch

  • Mitarbeitende mussten sich bei der Abholung ihrer Smartcard durch ein amtliches Ausweisdokument mit Lichtbild identifizieren
  • kryptografisches Schlüsselmaterial von Mitarbeitenden war besonders geschützt, da es auf einer Smartcard vorlag
  • unmittelbare Überprüfbarkeit der Zertifikate durch Außenstehende über die Zertifizierung durch die T-Systems

Certificate Policy (CP) und Certification Practice Statement (CPS)

  • Weitere Details siehe Zertifizierungsrichtlinie (Certificate Policy) und Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement)

Zertifizierungsstelle(n):

 

In dieser PKI waren die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten).

  • Die Fraunhofer User CA 2007 zertifizierte bis Mitte September 2014 Fraunhofer-Mitarbeitende und gab für diese Smartcards aus. Die CA wurde im November 2016 gesperrt.
  • Die Fraunhofer Service CA 2007 stellte bis März 2014 Zertifikate für Server und Services (nur bis September 2012), Endgeräte und Code-Signing aus und wurde Ende September 2014 gesperrt.
  • Beide CAs waren der Fraunhofer Root CA 2007 untergeordnet, die im November 2016 gesperrt wurde.
  • Die Fraunhofer Root CA 2007 war wiederum der Deutsche Telekom Root CA 2 untergeordnet.
 
©2023 Fraunhofer CC-PKI
  • Kontakt
  • Impressum
  • Datenschutzerklärung
logo