Zertifizierungsrichtlinie und Erklärung zum Zertifizierungsbetrieb der Dach-Zertifizierungsstelle für das Münchner Wissenschaftsnetz (MWN-Dach-CA) in der DFN-PKI

Einleitung

Die Dach-Zertifizierungsstelle für das Münchner Wissenschaftsnetz, im Folgenden kurz „MWN-Dach-CA“ genannt, ist eine vom Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ) betriebene Zertifizierungsstelle innerhalb der DFN-PKI.

Zur Diensteerbringung wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der MWN-Dach-CA von der Wurzelzertifizierungsstelle der DFN-PKI, der DFN-PCA, ausgestellt wird.

Daneben gibt es weitere, mit Zertifikaten der MWN-Dach-CA ausgestattete und insoweit untergeordnete Zertifizierungsstellen, die Zertifikate für Personen, für Datenverarbeitungssysteme oder zum Zwecke des Signierens von ausführbaren Code ausstellen. Nicht für alle diese Zwecke muss es zu jedem Zeitpunkt eine Zertifizierungsstelle geben; auch kann eine der nachgeordneten Zertifizierungsstellen mehr als einem dieser Zwecke dienen.

Identifikation des Dokuments

Titel: Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb
der Dach-Zertifizierungsstelle für das Münchner Wissenschaftsnetz (MWN-Dach-CA) in der DFN-PKI
Kurztitel: CP und CPS der MWN-Dach-CA
Version: 2
Datum: 2006-05-01
Object Identifier (OID): 1.3.6.1.4.1.7650.5.5.1.1.2
Zusammensetzung der OID:
IANA = 1.3.6.1.4.1
Leibniz-Rechenzentrum = 7650
MWN = 5
PKI = 5
Dach-CA = 1
Dokument-Nr. = 1
Version = 2

Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb

Für den Betrieb der MWN-Dach-CA gilt das folgende Dokument uneingeschränkt:

Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen Forschungsnetz – Classic, Version 1.1, Februar 2005, OID 1.3.6.1.4.1.22177.300.1.1.1.1.1,

im Folgenden kurz „CP-Classic V1.1“ genannt. Soweit die CP-Classic V1.1 Aussagen über sich selbst macht („dieses Dokument“, „die Richtlinien“), beziehen sich solche Aussagen auf die CP-Classic V1.1 selbst und nicht auf CP oder CPS der MWN-Dach-CA; dort gelten stattdessen die Angaben aus dem hier vorliegenden Text.

Außerdem gilt für den Betrieb der MWN-Dach-CA das folgende Dokument mit den weiter unten beschriebenen Ergänzungen, Präzisierungen und Änderungen:

Erklärung zum Zertifizierungsbetrieb der Public Key Infrastruktur im Deutschen Forschungsnetz – Classic, Version 1.1, Februar 2005, OID 1.3.6.1.4.1.22177.300.2.1.1.1.1

Abweichungen der Erklärung zum Zertifizierungsbetrieb der MWN-Dach-CA von derjenigen der DFN-PKI

Abschnitt 1.1 Überblick

Die Aussagen über die Verfügbarkeit englischer Übersetzungen von CP und CPS beziehen sich nicht auf CP und CPS der MWN-Dach-CA.

Abschnitt 1.3.1 Zertifizierungsstelle

Die Anschrift der Zertifizierungsstelle ist:

Leibniz-Rechenzentrum
Zertifizierungsstelle
Boltzmannstraße 1
85748 Garching
Telefon: ++49 89 35831-8784
Fax: ++49 89 35831-9700
E-Mail: mwn-dach-ca@lrz.de
Web: http://www.lrz-muenchen.de/services/pki/

Abschnitt 1.3.2 Registrierungsstellen

Die ausgezeichnete Registrierungsstelle für die zuvor genannte Zertifizierungsstelle befindet sich in deren Räumen (Anschrift siehe Abschnitt 1.3.1).

Darüber hinaus sind keine weiteren Registrierungsstellen verfügbar.

Abschnitt 1.5.1 Organisation

Die Verwaltung der Richtlinien erfolgt durch die Zertifizierungsstelle (Anschrift siehe Abschnitt 1.3.1).

Der Betrieb der unter Abschnitt 1.3. aufgeführten Zertifizierungsstelle erfolgt durch:

DFN-CERT Services GmbH
DFN-PCA
Heidenkampsweg 41
20097 Hamburg
Telefon: +49 40 808077-555
Telefax: +49 40 808077-556
E-Mail: certify@pca.dfn.de
Web: https://www.pca.dfn.de

Abschnitt 1.5.2 Kontaktperson

Die verantwortliche Person für die Zertifizierungsrichtlinien und die Erklärung zum Zertifizierungsbetrieb ist:

Dr. Ernst Bötsch
Leibniz-Rechenzentrum
Boltzmannstraße 1
85748 Garching
Telefon: ++49 89 35831-8831
Fax: ++49 89 35831-9700
E-Mail: boetsch@lrz.de

Abschnitt 2.1 Verzeichnisdienst

Der Verzeichnisdienst der MWN-Dach-CA ist unter der folgenden Bezugsadresse online zu erreichen:

  • https://www.pca.dfn.de/mwn-dach-ca
  • http://www.pca.dfn.de/mwn-dach-ca
  • ldap://ldap.pca.dfn.de/o=DFN-Verein/mwn-dach-ca

Abschnitt 2.2 Veröffentlichung von Informationen

Die MWN-Dach-CA publiziert die folgenden Informationen über die Web-Server http://www.dfn-pca.de und http://www.lrz-muenchen.de:

  • Zertifikat mit Fingerabdruck, Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb

    • https://www.pca.dfn.de/mwn-dach-ca
    • http://www.pca.dfn.de/mwn-dach-ca
    • https://www.lrz-muenchen.de/services/pki
    • http://www.lrz-muenchen.de/services/pki
  • Weitere Informationen für Zertifikatnehmer

    • https://www.lrz.de/services/pki
    • http://www.lrz.de/services/pki

Abschnitt 3.1.1 Namensform

Die DNs aller Zertifikatnehmer entsprechen grundsätzlich dem folgenden Schema:

C=DE,
[ST=Bundesland,]
[L=Ort,]
O=Organisation,
[OU=Organisationseinheit,]
[CN=Eindeutiger Name]

Alle von der MWN-Dach-CA und ihren unmittelbaren und mittelbaren Sub-CAs ausgestellten Zertifikate tragen im Attribut O=Organisation den Namen der Organisation, der der Zertifikatnehmer angehört.

Diese sind im einzelnen:

  • das Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften
    (C=DE, ST=Bayern, L=Muenchen, O=Leibniz-Rechenzentrum)
    bei allen Arten von Zertifikaten

  • die Technische Universität München
    (C=DE, ST=Bayern, O=Technische Universitaet Muenchen)
    bei Zertifikaten für Datenverarbeitungssysteme

Andere Organisationen, die satzungsgemäße Nutzer des LRZ sind, sind eingeladen, dem Tätigkeitsbereich der MWN-Dach-CA und ihrer Sub-CAs ebenfalls beizutreten.

Die genannten Organisationen haben die MWN-Dach-CA oder die für die betreffende Art von Zertifikaten zuständige Sub-CA der MWN-Dach-CA in Schriftform mit der Erstellung von Zertifikaten beauftragt. Zertifikate der DFN-PKI-Classic, auf die eine der obigen Beschreibungen passt, werden ausschließlich von der MWN-Dach-CA und ihren Sub-CAs vergeben. Wird die obengenannte Beauftragung widerrufen, so ist für die Eindeutigkeit der Namensräume zu sorgen, in der Regel durch Widerruf aller Zertifikate, die dann nicht mehr in die Zuständigkeit der MWN-Dach-CA und ihrer unmittelbaren und mittelbaren Sub-CAs fallen.

Abschnitt 3.1.3 Pseudonymität / Anonymität

Die MWN-Dach-CA bietet keine Möglichkeit an, auf Verlangen einer natürlichen Person anstelle des Namens im Zertifikat ein Pseudonym aufzuführen.

Abschnitt 3.2.1 Verfahrung zur Überprüfung des Besitzes des privaten Schlüssels

Beauftragt der Zertifikatnehmer einen Dienstleister mit der Administration des Serverrechners, so genügt es, wenn der Dienstleister im Besitz der privaten Schlüssels ist.

Abschnitt 3.2.3 Authentifizierung einer natürlichen Person

Auf die erneute Identitätsprüfung einer natürlichen Person kann verzichtet werden, wenn sie sich der Prüfung schon gegenüber derselben Registrierungsstelle unterzogen hat, das damals vorgelegte Ausweispapier noch gültig ist, und auf anderem Wege zweifelsfrei festgestellt werden kann, dass der Zertifikatnehmer tatsächlich die damals geprüfte Person ist.

Die bei der Einstellung eines Mitarbeiters des LRZ vorgenommene Identitätsprüfung wird als ausreichend anerkannt.

Eine Identitätsprüfung allein aufgrund persönlicher Bekanntheit ist nicht statthaft.

Abschnitt 3.2.5 Überprüfung von Unterschriftsvollmachten

Anstelle der Angaben zum Ausweispapier kann auch Geburtstag und Geburtsort neben dem vollständigen Namen angegeben werden, so dass ein amtliches Ausweispapier die Person vollständig identifiziert.

Ist die Akkreditierung ohne solche Angaben in ansonsten korrekter Form erfolgt, so darf sie die Registrierungsstelle akzeptieren, wenn die Beauftragung der Person anderweitig zweifelsfrei festgestellt werden kann. Auf die Identitätsprüfung selbst kann nicht verzichtet werden; Abschnitt 3.2.3 bleibt unberührt.

Abschnitt 4.1.1 Wer kann ein Zertifikat beantragen

Zertifikatnehmer der MWN-Dach-CA sind Zertifizierungsstellen im Münchener Wissenschaftnetz (MWN), soweit sie in die DFN-PKI nach dem Modell "Classic" eingebunden sind, also denselben Richtlinien unterliegen wie die MWN-Dach-CA selbst. Sie gehören dem in Abschnitt 3.1.1 festgelegten Namensraum selbst an und halten bei der Ausstellung von Zertifikaten diesen Namensraum ein. Bei der Einrichtung von Sub-CAs wird der Namensraum in einer Weise aufgeteilt, dass für jedes im Namensraum mögliche Zertifikat höchstens eine CA zuständig ist.

Die Zertifikatnehmer müssen überprüfbar gewährleisten, die Richtlinien der DFN-PKI nach dem Modell „Classic“ einzuhalten. Das geschieht in der Regel dadurch, dass sie ihren Betrieb wie die MWN-Dach-CA an die DFN-CERT Services GmbH auslagern.

Außerdem können Zertifikate an Einzelpersonen und an Gruppen sowie Zertifikate zum Zweck der Codesignatur ausgegeben werden, wenn und insoweit diese Zertifikate zum Betrieb der MWN-Dach-CA selbst notwendig sind.

Abschnitt 4.1.2 Registrierungsprozess

Die MWN-Dach-CA bietet keine Möglichkeit zur Schlüsselerzeugung durch die Zertifizierungsstelle.

Abschnitt 4.4.2 Veröffentlichung des Zertifikats

Die MWN-Dach-CA veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die unten angegebenen Informationssysteme.

Abschnitt 4.12.1 Richtlinien und Praktiken zur Schlüsselhinterlegung und -wiederherstellung.

Die MWN-Dach-CA bietet keine Möglichkeit zur Hinterlegung von privaten Schlüsseln.

Abschnitt 5.1 Infrastrukturelle Sicherheitsmaßnahmen

Die Ausführungen dieses Abschnittes beziehen sich auf den technischen Betrieb, wie er von der DFN-CERT Services GmbH durchgeführt wird. Dazu gehören die Rollen CAO1, CAO2, SA, SO, R und ISO, wie sie in Abschnitt 5.2.1 beschrieben sind. Nicht dazu gehören die Verantwortung für die CA, die Ausgestaltung der Rahmenbedingungen, die Verwaltung der Richtlinien sowie die Rollen TS und RG aus Abschnitt 5.2.1.

Abschnitt 5.8 Einstellung des Betriebs

Falls es zur Einstellung des Zertifizierungsbetriebs kommen sollte, werden folgende Maßnahmen ergriffen:

  • Information der DFN-PCA mindestens drei Monate vor Einstellung der Tätigkeit.

  • Information aller Zertifikatnehmer, Registrierungsstellen und betroffenen Organisationen mindestens drei Monate vor Einstellung der Tätigkeit.

  • Rechtzeitiger Widerruf aller Zertifikate.

  • Sichere Zerstörung der privaten Schlüssel der Zertifizierungsstelle nach Widerruf aller Zertifikate.

Die Leibniz-Rechenzentrum stellt den Fortbestand der Archive und die Abrufmöglichkeit einer vollständigen Widerrufsliste für den zugesicherten Aufbewahrungszeitraum sicher.

Abschnitt 6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer

entfällt

Abschnitt 6.2.3 Hinterlegung privater Schlüssel

entfällt

Versionsgeschichte

Die Änderungen der Identifikation der Version (Versionsnummer, Datum, OID, Eintrag in der Versionsgeschichte) werden nicht aufgeführt.

Version Datum Änderungen zur Vorversion bisher
2 2006-05-01 neu: Datumsangabe in „Identifikation des Dokuments“  
Anschrift des LRZ Barer Straße 21, 80333 München, andere Telefon- und Faxnummern
neu: Versionsgeschichte  
1 2005-06-14 erste Version des Dokuments