Für andere Domains SSL-Zertifikate aus der DFN-PKI erhalten

Für die Absicherung von Serverdiensten werden von Ihnen SSL-Zertifikate aus der DFN-PKI eingesetzt. Diese Zertifikate für Ihre Server werden von einer Zertifizierungsstelle, der DFN-PKI, signiert (digital unterschrieben). In der Regel setzen Sie diese Zertifikate für Server ein, die Sie unterhalb der Domains „tu-braunschweig.de“ bzw. „tu-bs.de“ einsetzen.

Wenn Sie Zertifikate für Domains die mit „tu-braunschweig.de“ bzw. „tu-bs.de“ enden benötigen, ist dieser Artikel für Sie nicht relevant.

Die Nutzung der DFN-PKI ist jedoch nicht begrenzt auf diese beiden Domains, denn gerade im Bereich der Forschung hat es sich etabliert, dass andere Domains z.B. für Konferenzen durch die ausrichtenden Einrichtungen genutzt werden. Auch einrichtungsübergreifende Forschungskooperationen nutzen übergreifende Domainnamen, um über die Inhalte und Kooperationspartner dieser Verbünde zu informieren. Hier werden Domains der Form www.example.[de|com|eu|org|net] benötigt, also keine Zertifikate die auf den Namen der Einrichtung, also bei uns auf „tu-braunschweig.de“ bzw. „tu-bs.de“ enden, benötigt.

Dem trägt der DFN mit der DFN-PKI dahingehend Rechnung, dass unter bestimmten Voraussetzungen andere Domains der Form example.com für das Ausstellen von Zertifikaten innerhalb der DFN-PKI freigeschaltet werden können.

Wichtigste Voraussetzung, um für eine andere als die beiden vorstehend genannten Domains Serverzertifikate ausgestellt zu bekommen ist, dass die jeweilige Domain der TU Braunschweig als Einrichtung gehört. Individuell auf Mitarbeitende registrierte Domains erfüllen diese Anforderung nicht. Sofern Ihre Einrichtung Serverzertifikate für andere Domains benötigt, muss die betreffende Domain von uns in der DFN-PKI eingetragen und vom DFN-PKI Team des DFN nach einer Überprüfung ob die Domain der jeweiligen Einrichtung gehört, freigeschaltet werden.

Bislang war diese Überprüfung ein von Mitarbeitern der DFN-PKI durchgeführter manueller Prozess auf Basis von allgemein verfügbaren Informationen (Stichwort: Whois Informationen). Aufgrund der Umsetzung von Datenschutzrichtlinien, allen voran der EU-DSGVO wird der Zugriff auf diese Informationen immer weiter eingeschränkt, da dort u.U. auch Namen von natürlichen Personen aufgeführt sind. Bereits im Februar diesen Jahres hat das CA/Browser Forum festgelegt, dass u.a. dieses Verfahren zur Prüfung der berechtigten Aufnahme von Domains in Serverzertifikaten zum 01.08.2018 umgestellt werden muss. Der DFN hat sich daher dazu entschlossen, die Validierung der Domains auf ein nach CA/Browser Forum verwendbares Challenge-Response Verfahren umzustellen.

Das Challenge-Response Verfahren setzt darauf auf, dass die Eigentümer einer Domain unter bestimmten E-Mail Adressen erreichbar sein sollten. Die vom Verfahren nutzbaren E-Mail Adressen sind von der Struktur wie folgt fest vorgegeben: hostmaster@example.net, webmaster@example.net, postmaster@example.net, admin@example.net, administrator@example.net. Darüber hinaus wird die E-Mail-Adresse des Zonenverwalters unterstützt. Dessen E-Mail Adresse kann im SOA Resource Record zu der zu validierenden Domain im DNS hinterlegt sein.

Im Juli 2018 müssen die ersten an der TU Braunschweig verwendeten Domains nach dem neuen Verfahren neu validiert werden. Für diese erste Umstellung werden wir gezielt auf die Betreuer der betreffenden Domains in den jeweiligen Instituten zugehen, um die erste Validierung begleitet umzusetzen. Dabei legen wir mit Ihnen als Eigentümer einer Domain gemeinsam fest, über welche der vorstehend skizzierten E-Mail Adressen das Challenge-Response Verfahren durchgeführt wird. Dazu ist Ihre Mitarbeit erforderlich. Nach erfolgreicher Validierung einer Domain können für diese innerhalb von 825 Tagen Zertifikatsanträge gestellt werden. (Die Länge der Gültigkeitsdauer der ausgestellten Zertifikate ist dabei davon unabhängig und richtet sich weiter nach den Vorgaben der DFN-PKI.) Vor Ablauf von 825 Tagen werden seitens der DFN-PKI Warn-E-Mails an die für die erste Validierung vereinbarte E-Mail Adresse verschickt, so dass Sie für die nächste Validierung selbstständig tätig werden können. Fragen zum Thema Validierung von Domains in der DFN-PKI können Sie an noc@tu-braunschweig.de richten.

zertifikate/weitere_domains_fuer_dfn-pki_freischalten_fuer_dv-koord.txt · Zuletzt geändert: 2018/08/15 14:12 von pilawa
Gauß-IT-Zentrum