Zertifizierungsrichtlinie und Erklärung zum Zertifizierungsbetrieb der Server-Zertifizierungsstelle für das Münchner Wissenschaftsnetz (MWN-Server-CA) in der DFN-PKI

Einleitung

Die Server-Zertifizierungsstelle für das Münchner Wissenschaftsnetz, im Folgenden kurz „MWN-Server-CA“ genannt, ist eine vom Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ) betriebene Zertifizierungsstelle innerhalb der DFN-PKI.

Zur Diensteerbringung wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der MWN-Server-CA von der MWN-Dach-CA ausgestellt wird, die ihrerseits ihr Zertifikat von der Wurzelzertifizierungsstelle der DFN-PKI, der DFN-PCA, bezieht.

Die MWN-Server-CA stellt Zertifikate für Datenverarbeitungssysteme aus. Neben ihr kann es weitere, mit Zertifikaten der MWN-Dach-CA ausgestattete und dieser insoweit untergeordnete Zertifizierungsstellen geben, die Zertifikate für Personen oder zum Zwecke des Signierens von ausführbaren Code ausstellen.

Identifikation des Dokuments

Titel: Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb
der Server-Zertifizierungsstelle für das Münchner Wissenschaftsnetz (MWN-Server-CA) in der DFN-PKI
Kurztitel: CP und CPS der MWN-Server-CA
Version: 2
Datum: 2006-05-01
Object Identifier (OID): 1.3.6.1.4.1.7650.5.5.21.1.2
Zusammensetzung der OID:
IANA = 1.3.6.1.4.1
Leibniz-Rechenzentrum = 7650
MWN = 5
PKI = 5
Server-CA = 21
Dokument-Nr. = 1
Version = 2

Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb

Für den Betrieb der MWN-Server-CA gilt das folgende Dokument uneingeschränkt:

im Folgenden kurz „CP-Classic V1.1“ genannt. Soweit die CP-Classic V1.1 Aussagen über sich selbst macht („dieses Dokument“, „die Richtlinien“), beziehen sich solche Aussagen auf die CP-Classic V1.1 selbst und nicht auf CP oder CPS der MWN-Server-CA; dort gelten stattdessen die Angaben aus dem hier vorliegenden Text.

Außerdem gilt für den Betrieb der MWN-Server-CA das folgende Dokument mit den weiter unten beschriebenen Ergänzungen, Präzisierungen und Änderungen:

Abweichungen der Erklärung zum Zertifizierungsbetrieb der MWN-Server-CA von derjenigen der DFN-PKI

Abschnitt 1.1 Überblick

Die Aussagen über die Verfügbarkeit englischer Übersetzungen von CP und CPS beziehen sich nicht auf CP und CPS der MWN-Server-CA.

Abschnitt 1.3.1 Zertifizierungsstelle

Die Anschrift der Zertifizierungsstelle ist:

Leibniz-Rechenzentrum
Zertifizierungsstelle
Boltzmannstraße 1
85748 Garching
Telefon: ++49 89 35831-8784
Fax: ++49 89 35831-9700
E-Mail: mwn-server-ca@lrz.de
Web: http://www.lrz/services/pki/

Abschnitt 1.3.2 Registrierungsstellen

Die ausgezeichnete Registrierungsstelle für die zuvor genannte Zertifizierungsstelle befindet sich in deren Räumen (Anschrift siehe Abschnitt 1.3.1).

Darüber hinaus sind keine weiteren Registrierungsstellen verfügbar.

Abschnitt 1.5.1 Organisation

Die Verwaltung der Richtlinien erfolgt durch die Zertifizierungsstelle (Anschrift siehe Abschnitt 1.3.1).

Der Betrieb der unter Abschnitt 1.3. aufgeführten Zertifizierungsstelle erfolgt durch:

DFN-CERT Services GmbH
DFN-PCA
Heidenkampsweg 41
20097 Hamburg
Telefon: +49 40 808077-555
Telefax: +49 40 808077-556
E-Mail: certify@pca.dfn.de
Web: https://www.pca.dfn.de

Abschnitt 1.5.2 Kontaktperson

Die verantwortliche Person für die Zertifizierungsrichtlinien und die Erklärung zum Zertifizierungsbetrieb ist:

Dr. Ernst Bötsch
Leibniz-Rechenzentrum
Boltzmannstraße 1
85748 Garching
Telefon: ++49 89 35831-8831
Fax: ++49 89 35831-9700
E-Mail: boetsch@lrz.de

Abschnitt 2.1 Verzeichnisdienst

Der Verzeichnisdienst der MWN-Server-CA ist unter der folgenden Bezugsadresse online zu erreichen:

  • https://www.pca.dfn.de/mwn-server-ca
  • http://www.pca.dfn.de/mwn-server-ca
  • ldap://ldap.pca.dfn.de/o=DFN-Verein/mwn-server-ca

Abschnitt 2.2 Veröffentlichung von Informationen

Die MWN-Server-CA publiziert die folgenden Informationen über die Web-Server http://www.dfn-pca.de und http://www.lrz-muenchen.de:

  • Zertifikat mit Fingerabdruck, Zertifizierungsrichtlinien und Erklärung zum Zertifizierungsbetrieb
    • https://www.pca.dfn.de/mwn-server-ca
    • http://www.pca.dfn.de/mwn-server-ca
    • https://www.lrz-muenchen.de/services/pki
    • http://www.lrz-muenchen.de/services/pki
  • Weitere Informationen für Zertifikatnehmer

    • https://www.lrz-muenchen.de/services/pki
    • http://www.lrz-muenchen.de/services/pki

Abschnitt 3.1.1 Namensform

Die DNs aller Zertifikatnehmer entsprechen grundsätzlich dem folgenden Schema:

C=DE,
[ST=Bundesland,]
[L=Ort,]
O=Organisation,
[OU=Organisationseinheit,]
[CN=Eindeutiger Name]

Alle von der MWN-Server-CA ausgestellten Zertifikate tragen im Attribut O=Organisation den Namen der Organisation, der der Zertifikatnehmer angehört. Diese sind durch Abschnitt 3.1.1 des CPS der MWN-Dach-CA beschränkt.

Das optionale Attribut OU=Organisationseinheit kann mehrfach angegeben werden. Weitere Attribute, die in den Namen aufgenommen werden können, sind dem Abschnitt 7.1 zu entnehmen.

Abschnitt 3.1.2 Aussagekräftigkeit von Namen

Bei Zertifikaten für Datenverarbeitungssysteme (Regelfall nach Abschnitt 4.1.1) muss der Name das Datenverarbeitungssystem eindeutig identifizieren und in einer für Menschen verständlichen Form vorliegen. Das Attribut CN=Eindeutiger Name enthält grundsätzlich den voll qualifizierten Domain-Namen. Er kann darüber hinaus weitere Angaben, etwa zum verwendeten Protokoll, enthalten; von dieser Möglichkeit soll nur Gebrauch gemacht werden, wenn die eingesetzte Software dies zwingend erfordert.

Abschnitt 3.1.3 Pseudonymität / Anonymität

Die MWN-Server-CA bietet keine Möglichkeit an, auf Verlangen einer natürlichen Person anstelle des Namens im Zertifikat ein Pseudonym aufzuführen.

Abschnitt 3.1.5 Eindeutigkeit von Namen

Der Wert des Attributs O=Organisation wird von der Organisation, in der Regel einer Hochschule, Akademie oder Fachhochschule, festgelegt. Die Schreibweise des Namens der Organisation und der Gebrauch oder Nichtgebrauch der Attribute ST=Bundesland und L=Ort soll dabei bei Zertifikaten für Einrichtungen derselben Organisation einheitlich sein.

Der Wert des Attributs OU=Organisationseinheit soll die Untergliederung der Organisation charakterisieren, die für die Einrichtung des zu zertifizierenden Datenverarbeitungssystems verantwortlich ist. In der Regel sollte genau ein solches Attribut verwendet werden. Die gewählte Bezeichnung darf nicht zu Verwechslungen mit anderen Einrichtungen innerhalb derselben Organisation führen. Die Entscheidung über die Wahl dieses Attributwertes obliegt der Organisation, die mit der Zertifizierungsstelle ein geeignetes Verfahren zur Vergabe solcher Bezeichnungen vereinbart.

Der Wert des Attributs CN=Eindeutiger Name ist durch Abschnitt 3.1.2 weitgehend vorgegeben. Der Zertifikatnehmer muss rechtmäßiger Nutzer des Domainnamens im CN sein, d.h. der Domainname muss entweder ihm selbst zugewiesen sein oder einem Dienstleister, der ihn nur in seinem Auftrag und nach seiner Weisung benutzt.

Abschnitt 3.2.1 Verfahrung zur Überprüfung des Besitzes des privaten Schlüssels

Beauftragt der Zertifikatnehmer einen Dienstleister mit der Administration des Serverrechners, so genügt es, wenn der Dienstleister im Besitz der privaten Schlüssels ist.

Abschnitt 3.2.3 Authentifizierung einer natürlichen Person

Auf die erneute Identitätsprüfung einer natürlichen Person kann verzichtet werden, wenn sie sich der Prüfung schon gegenüber derselben Registrierungsstelle unterzogen hat, das damals vorgelegte Ausweispapier noch gültig ist, und auf anderem Wege zweifelsfrei festgestellt werden kann, dass der Zertifikatnehmer tatsächlich die damals geprüfte Person ist.

Die bei der Einstellung eines Mitarbeiters des LRZ vorgenommene Identitätsprüfung wird als ausreichend anerkannt.

Eine Identitätsprüfung allein aufgrund persönlicher Bekanntheit ist nicht statthaft.

Abschnitt 3.2.5 Überprüfung von Unterschriftsvollmachten

Anstelle der Angaben zum Ausweispapier kann auch Geburtstag und Geburtsort neben dem vollständigen Namen angegeben werden, so dass ein amtliches Ausweispapier die Person vollständig identifiziert.

Ist die Akkreditierung ohne solche Angaben in ansonsten korrekter Form erfolgt, so darf sie die Registrierungsstelle akzeptieren, wenn die Beauftragung der Person anderweitig zweifelsfrei festgestellt werden kann. Auf die Identitätsprüfung selbst kann nicht verzichtet werden; Abschnitt 3.2.3 bleibt unberührt.

Abschnitt 4.1.1 Wer kann ein Zertifikat beantragen

Zertifikatnehmer der MWN-Server-CA sind Betreiber von Datenverarbeitungssystemen in dem durch Abschnitt 3.1.1 des CPS der MWN-Dach-CA definierten Bereich.

Außerdem können Zertifikate an Einzelpersonen und an Gruppen sowie Zertifikate zum Zweck der Codesignatur ausgegeben werden, wenn und insoweit diese Zertifikate zum Betrieb der MWN-Server-CA selbst notwendig sind.

Abschnitt 4.1.2 Registrierungsprozess

Die MWN-Server-CA bietet keine Möglichkeit zur Schlüsselerzeugung durch die Zertifizierungsstelle.

Abschnitt 4.4.2 Veröffentlichung des Zertifikats

Die MWN-Server-CA veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die unten angegebenen Informationssysteme.

Abschnitt 4.12.1 Richtlinien und Praktiken zur Schlüsselhinterlegung und -wiederherstellung.

Die MWN-Server-CA bietet keine Möglichkeit zur Hinterlegung von privaten Schlüsseln.

Abschnitt 5.1 Infrastrukturelle Sicherheitsmaßnahmen

Die Ausführungen dieses Abschnittes beziehen sich auf den technischen Betrieb, wie er von der DFN-CERT Services GmbH durchgeführt wird. Dazu gehören die Rollen CAO1, CAO2, SA, SO, R und ISO, wie sie in Abschnitt 5.2.1 beschrieben sind. Nicht dazu gehören die Verantwortung für die CA, die Ausgestaltung der Rahmenbedingungen, die Verwaltung der Richtlinien sowie die Rollen TS und RG aus Abschnitt 5.2.1.

Abschnitt 5.8 Einstellung des Betriebs

Falls es zur Einstellung des Zertifizierungsbetriebs kommen sollte, werden folgende Maßnahmen ergriffen:

  • Information der DFN-PCA mindestens drei Monate vor Einstellung der Tätigkeit.
  • Information aller Zertifikatnehmer, Registrierungsstellen und betroffenen Organisationen mindestens drei Monate vor Einstellung der Tätigkeit.
  • Rechtzeitiger Widerruf aller Zertifikate.
  • Sichere Zerstörung der privaten Schlüssel der Zertifizierungsstelle nach Widerruf aller Zertifikate.

Die Leibniz-Rechenzentrum stellt den Fortbestand der Archive und die Abrufmöglichkeit einer vollständigen Widerrufsliste für den zugesicherten Aufbewahrungszeitraum sicher.

Abschnitt 6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer

entfällt

Abschnitt 6.2.3 Hinterlegung privater Schlüssel

entfällt

Versionsgeschichte

Die Änderungen der Identifikation der Version (Versionsnummer, Datum, OID, Eintrag in der Versionsgeschichte) werden nicht aufgeführt.

Version Datum Änderungen zur Vorversion bisher
2 2006-05-01 neu: Datumsangabe in „Identifikation des Dokuments“  
Anschrift des LRZ Barer Straße 21, 80333 München,
andere Telefon- und Faxnummern
neu: Versionsgeschichte  
1 2005-06-14 erste Version des Dokuments