Suche

Public Key Infrastruktur


Sichere Kommunikation im Internet setzt die Vertraulichkeit und Integrität der übertragenen Daten einerseits und die Authentizität der diese Daten übertragenden Stellen andererseits voraus. Kryptographie gewährleistet die eine, Zertifizierung die andere Bedingung. Damit auch an der Universität Augsburg Zertifikate auf Basis des X.509 Standards zur sicheren Kommunikation einfach und schnell zur Verfügung stehen, nimmt das Rechenzentrum seit April 2008 am Dienst DFN-PKI des DFN-Vereins teil.

Seit Ende 2016 steht uns auch die zweite Generation der DFN-PKI im Sicherheitsniveau Global zur Verfügung. Bis zum Laufzeitende des alten Wurzelzertifikats Deutsche Telekom Root CA 2 der ersten Generation am 09. Juli 2019 GMT können an der Universität Augsburg Zertifikate aus beiden Sicherheitsniveaus zum Einsatz kommen.

Wurzel- und CA-Zertifikate Sicherheitsniveau Global Generation 1 Wurzel- und CA-Zertifikate Sicherheitsniveau Global Generation 2

Die Richtlinien für den operativen Betrieb der DFN-PKI sind in der Zertifizierungsrichtlinie (Vers. 3.6) und in der Erklärung zum Zertifizierungsbetrieb (Vers. 3.1) zusammengefasst. Die aktuellen Versionen der beiden Dokumente werden auf den Webseiten der DFN-PKI veröffentlicht.

Grundsätzlich ermutigen wir alle Betreiber von IT-Diensten an der Universität Augsburg ihre Systeme falls technisch möglich kryptographisch zu schützen. Hinweise zur Beantragung eines Zertifikats für Ihren IT-Dienst finden Sie hier. Denken Sie später bitte daran, in Ihrem IT-Dienst, je nachdem, ob Sie ein Zertifikat aus der ersten oder zweiten Generation der DFN-PKI beantragt haben, die richtige Zertifizierungskette zu verankern.

Zertifizierungskette Sicherheitsniveau Global Generation 1 Zertifizierungskette Sicherheitsniveau Global Generation 2

Mit einer Ausnahme ist das Wurzelzertifikat T-TeleSec GlobalRoot Class 2 der zweiten Generation der DFN-PKI in allen aktuellen Betriebssystemen und Browsern verankert. Diese Ausnahme ist Android ≤ Vers. 4.4. Solche Clients werden beim Zugriff auf Webserver und andere IT-Dienste mit einem Zertifikat aus der zweiten Generation der DFN-PKI eine Fehlermeldung ausgeben. Daher lautet unsere Empfehlung ab sofort nur noch Zertifikate aus der zweiten Generation zu beantragen. Lediglich die Zertifikatinhaber, die glauben, solche veralteten und unsicheren Clients noch unterstützen zu müssen, sollten auf Zertifikate aus der ersten Generation zurückgreifen.