Dies ist eine alte Version des Dokuments!
Für die Absicherung von Serverdiensten werden von Ihnen SSL-Zertifikate aus der DFN-PKI eingesetzt. Diese Zertifikate für Ihre Server werden von einer Zertifizierungsstelle, der DFN-PKI, signiert (digital unterschrieben). Die Zertifikate der DFN-PKI wiederum sind von einer weiteren Zertifizierungsstelle signiert. Auf diese Weise ergibt sich ein sogenannter Zertifizierungspfad (Zertifizierungskette) vom Zertifikat des Servers bis zu einer sogenannten Stammzertifizierungsstelle, deren Zertifikat nicht mehr von einer weiteren Zertifizierungsstelle ausgestellt ist. Zertifikate von Stammzertifizierungsstellen werden auch als Wurzel-Zertifikate bezeichnet.
Dass ein auf diese Weise signiertes Zertifikat Ihres Servers für den Einsatz als SSL-Zertifikat auf einem von Ihnen betriebenen Webserver von den Internet-Browsern als „sicheres Zertifikat“ angezeigt wird, liegt an der Verankerung/Hinterlegung des Wurzel-Zertifikats in den Internet-Browsern und den Betriebssystemen.
Darüber hinaus haben all diese digitalen Zertifikate ein Ablaufdatum. In der Regel ist der Gültigkeitszeitraum für Serverzertifikate aus der DFN-PKI bis zu zwei Jahre. Mit Ablauf der Gültigkeit eines Zertifikats werden Internet-Browser die dann ungültigen Zertifikate monieren und eine Verbindung verweigern.
Auch für das Wurzel-Zertifikat der DFN-PKI gibt es einen Gültigkeitszeitraum. Die Gültigkeit des entsprechenden Wurzel-Zertifikats „Deutsche Telekom Root CA 2“ läuft am 10. Juli 2019 ab. Es gibt keine Verlängerung dieses Zeitraums.
Den Wechsel innerhalb der DFN-PKI steuern die teilnehmenden Einrichtungen selbst, da der DFN parallel zur „alten“ DFN-PKI Online-Schnittstelle eine neue Online-Schnittstelle bereitstellt. Dabei sind die Funktionen der Schnittstelle inhaltsgleich. Wesentliche Änderungen betreffen den Aufbau der neuen DFN-PKI. In der alten Generation der DFN-PKI wurden eigene, echte Sub-CAs (Subordinate Certification Authorities, „Unter-CAs“) mit eigenen Zertifikaten in der Zertifizierungskette für die Einrichtungen betrieben.
Im Zuge der Umstellung auf die neue DFN-PKI mit dem neuen Wurzel-Zertifikat fallen diese einrichtungsspezifischen Zertifikate weg. Alle Zertifikate in der neuen Generation der DFN-PKI werden mit dem Sub-CA-Zertifikat „DFN-Verein Global Issuing CA“ ausgestellt. Für die TU Braunschweig fällt daher – wie auch für die anderen Einrichtungen, die an der DFN-PKI teilnehmen – das eigene, einrichtungsspezifische Sub-CA-Zertifikat (hier mit dem Namen „Technische Universitaet Braunschweig CA“) im Zertifizierungspfad zukünftig weg.
An der TU Braunschweig werden wir den Wechsel zum neuen Wurzel-Zertifikat in der DFN-PKI zum 04. Dezember 2017 beginnen. Obwohl das alte Wurzel-Zertifikat noch bis Anfang Juli 2019 gültig ist, empfiehlt es sich, den Wechsel nun zu beginnen, damit nicht im Juli 2019 alle Zertifikate auf einmal zu erneuern sind.
Sie müssen also nicht alle Zertifikate auf allen von Ihnen betriebenen Systemen ad hoc tauschen. Aber sobald ein bestehendes Zertifikat zur Erneuerung ansteht oder ein neues System mit einem Zertifikat ausgestattet werden soll, nutzen Sie bereits die neue DFN-PKI.