Übersicht: Versionen der Fraunhofer-PKI

Last Updated: Friday, 02 May 2025 13:48

Hintergrund: Zertifikate und Zertifizierungsstellen

Das CC-PKI betreibt für die Fraunhofer-Gesellschaft mehrere sogenannte Zertifizierungsstellen aus verschiedenen PKIs (Public Key Infrastrukturen), um die unterschiedlichen benötigten Zertifikatstypen für Fraunhofer zur Verfügung zu stellen.

Eine Zertifizierungsstelle stellt digitale Zertifikate für Personen oder Systeme (z. B. Webserver) aus und macht damit eine Zusicherung, zu wem ein bestimmter kryptographischer Schlüssel (sogenannter Public Key) gehört. Zertifizierungsstellen arbeiten nach bestimmten Regeln (beschrieben in einer Zertifizierungsrichtlinie / Certificate Policy bzw. Erklärung zum Zertifizierungsstellenbetrieb / Certification Practice Statement), die besagen, welche Aussagekraft und insbesondere welches Sicherheitsniveau die ausgestellten Zertifikate haben.

Jede Zertifizierungsstelle ist einer PKI zugeordnet. Mit PKI ist die zugehörige Infrastruktur und der Teilnehmerkreis gemeint, für den die Zertifizierungsstelle Zertifikate ausstellt. Die PKIs lassen sich jeweils anhand der Zielgruppe und des Sicherheitsniveaus unterscheiden. Eine Zertifizierungsstelle wird auch als Certification Authority (CA) bezeichnet.

Grundsätzlich lassen sich Zertifizierungsstellen danach unterscheiden, ob die ausgestellten Zertifikate global anerkannt sind oder nicht. Globale Anerkennung bedeutet, dass die ausgestellten Zertifikate ohne weiteres Zutun in allen gängigen Betriebssystemen und Anwendungen (Browser, E-Mail-Client) akzeptiert und als sicher angezeigt werden. Zertifizierungsstelllen ohne globale Anerkennung sind hingegen nicht per se als vertrauenswürdig in Betriebssystemen und Anwendungen eingestuft, sondern die Entscheidung hierüber wird dem Benutzer überlassen. Bei fehlender Konfiguration werden die Zertifikate zunächst pauschal als ungültig / nicht vertrauenswürdig eingestuft.

Fraunhofer verwendet sowohl Zertifikate aus global anerkannten Zertifizierungsstellen, als auch solche, die aus sichereren und vertrauenswürdigen Zertifizierungsstellen ohne globale Anerkennung stammen, und daher zunächst entsprechend im Betriebssystem bzw. den Anwendungen als vertrauenswürdig konfiguriert werden müssen. Dies ist Fraunhofer-weit im Allgemeinen bereits geschehen, im Außenraum aber nicht unbedingt, weshalb es dort gegebenenfalls zu Warnhinweisen kommen kann.

Last Updated: Friday, 02 May 2025 16:06

Struktur der Fraunhofer-PKI

Die Fraunhofer-PKI ist ein bedarfsgerechtes Angebot verschiedener Public Key Infrastrukturen für unterschiedliche Zielgruppen (Mitarbeitende, Externe, etc.), um digitale Zertifikate für die Anwendungsszenarien elektronische Unterschrift, Verschlüsselung und Authentisierung gemäß den Fraunhofer-Anforderungen bereitzustellen. Folgende Zertifizierungsstellen werden hierzu selbst betrieben bzw. verwendet:

• PKI für Fraunhofer-Smartcards
  Fraunhofer-Smartcards beinhalten drei verschiedene Zertifikatstypen für die Anwendungszwecke Authentisierung, Signatur und Verschlüsselung. Diese Zertifikate werden von folgenden Zertifizierungsstellen ausgegeben:
  • Authentisierung: Fraunhofer User CA 2022 (DFN-Verein Community PKI 2022, nicht global anerkannt)
    
    Da Authentisierungen nur Fraunhofer-intern zum Einsatz kommen, ist eine globale Anerkennung im Außenraum nicht erforderlich.
  • Signatur und Verschlüsselung: Fraunhofer User CA 2022 (DFN-Verein Community PKI 2022, nicht global anerkannt)
    
    Die Zertifikate für Signatur und Verschlüsselung sind Fraunhofer-weit automatisch als vertrauenswürdig anerkannt und konfiguriert. Im Außenraum ist die globale Anerkennung im Allgemeinen jedoch nicht gegeben. Bitte beachten Sie daher unsere Hinweise zur signierten und verschlüsselten Kommunikation mit dem Außenraum. Fraunhofer wird 2025 wieder zurückzukehren zu global anerkannten Smartcard-Zertifikaten für Signatur und Verschlüsselung.
• PKI für Fraunhofer Server- und Services
  Das Fraunhofer CC-PKI stellt folgende Zertifikatstypen aus den angegebenen Zertifizierungsstellen zur Verfügung:
  • TLS-Zertifikate (außer für Domain-Controller): HARICA OV TLS RSA CA / HARICA OV TLS ECC CA (HARICA, global anerkannt)
  • S/MIME-Zertifikate für Funktionsadressen / Mailing-Listen: Fraunhofer Service CA 2022 (DFN-Verein Community PKI 2022, nicht global anerkannt)
    
    Diese Zertifikate für Signatur und Verschlüsselung sind in weiten Teilen bei Fraunhofer bereits als vertrauenswürdig konfiguriert. Im Außenraum ist die globale Anerkennung im Allgemeinen jedoch nicht gegeben. Bitte beachten Sie daher unsere Hinweise zur signierten und verschlüsselten Kommunikation mit dem Außenraum.
  • CodeSigning-Zertifikate: Fraunhofer Service CA 2022 (DFN-Verein Community PKI 2022, nicht global anerkannt)
• PKI für externe Fraunhofer-Kontakte
  Diese PKI für Außenstehende wird in erster Linie betrieben, um Zertifikate für externe Kommunikationspartner von Fraunhofer auszustellen. Sie stellt keine Smartcards, sondern nur Software-Zertifikate aus und ist als PKI-Contacts bekannt.

Zudem gibt es einige Fraunhofer-Mitarbeitende, die noch Zertifikate aus der folgenden Vorgänger-PKI nutzen, die maximal bis 2028 gültig sind:

• Fraunhofer DFN-PKI 2016
  Von Juli 2016 bis August 2023 wurden Zertifikate für Fraunhofer-Smartcards (Mitarbeitende) sowie für Server und Services, Endgeräte, E-Mail-Dienste (Funktionsadressen und Mailing-Listen mit und ohne Signaturfunktionalität) und Code Signing aus dieser PKI erstellt. Sie löste damit die Fraunhofer DFN-PKI ab, deren Wurzelzertifikat - das Deutsche Telekom Root CA 2 Zertifikat - im Juli 2019 ausgelaufen ist. Die Fraunhofer DFN-PKI 2016 war deshalb unterhalb eines neuen Wurzelzertifikats - des T-Telesec GlobalRoot Class 2-Zertifikats, das bis Anfang Oktober 2033 gültig ist - seitens des DFN-Vereins aufgebaut worden.

Last Updated: Friday, 02 May 2025 16:11

Historie

In der Vergangenheit wurden ferner die folgenden PKIs betrieben, die mittlerweile jedoch stillgelegt sind:

• Fraunhofer DFN-PKI 2012
  Diese PKI wurde im Sommer 2012 in den Produktivbetrieb überführt und hat die Fraunhofer-PKI in der Version 2 abgelöst. Zunächst wurden nur Zertifikate für Server und Services, Endgeräte, E-Mail-Dienste (Funktionsadressen und Mailing-Listen mit und ohne Signaturfunktionalität) und Code Signing ausgestellt. Ab Mitte September 2014 stellte die PKI zusätzlich auch die Zertifikate für die Fraunhofer-Smartcards (Mitarbeitende) aus. Ab Juli 2016 wurden die Aufgaben der Fraunhofer DFN-PKI sukzessive durch die Fraunhofer DFN-PKI 2016 übernommen, da das Wurzelzertifikat der Fraunhofer DFN-PKI im Juli 2019 abgelaufen ist und ausgestellte Zertifikate aus dieser PKI damit ab Juli 2016 nicht mehr die maximale Laufzeit besitzen konnten. Alle Zertifikate aus dieser PKI sind im Juli 2019 mit Auslauf des Deutschen Telekom Root CA 2 - Zertifikats abgelaufen und ungültig geworden..
• Fraunhofer-PKI in der Version 2
  Diese PKI hat die Fraunhofer-PKI Version 1 abgelöst und ist z. T. unter PKIv2 bekannt. Bis Mitte September 2014 wurden aus dieser PKI Zertifikate für Fraunhofer-Mitarbeitende auf Smartcards ausgegeben; bis Februar 2014 auch Zertifikate als Softtoken für Server und Services, Endgeräte und Code Signing. Die PKIv2 wurde ab Mitte 2012 sukzessive durch die Fraunhofer DFN-PKI abgelöst und Ende 2016 vollständig stillgelegt.
• Fraunhofer-PKI in der Version 1
  Diese PKI war die erste PKI der Fraunhofer-Gesellschaft, die Fraunhofer-weit Zertifikate für Server und Services sowie für Mitarbeitende erstellt hat (PKIv1). Allerdings wurden für die Fraunhofer-Mitarbeitenden noch keine Smartcards ausgegeben. Sie hatten stattdessen Software-basierte Zertifikate erhalten. Die PKIv1 wurde Ende 2009 außer Betrieb genommen.