Zertifizierung durch das LRZ

Es wird dargestellt, welche Zertifizierungsstellen für X.509-Zertifikate im Münchner Wissenschaftsnetz zuständig sind und welche Dienste dabei jetzt und künftig vom LRZ erbracht werden.

Was Zertifikate für öffentliche Schlüssel sind, steht in einem anderen Artikel. Hier geht es darum, welche Zertifikate im Umfeld des LRZ eine Rolle spielen und wo man ein Zertifikat herbekommt, wenn man eines braucht.

Zertifikate werden für verschiedene Anwendungen nach ganz unterschiedlichen Regeln erstellt, die die unterschiedlichen Sicherheitsanforderungen bei der Überprüfung der Identität des Zertifikatnehmers widerspiegeln. Würde man alle Zertifikatwünsche gleich behandeln, so müsste man für alle die strengsten Regeln gelten lassen und so unnötig viel Bürokratie in Gang setzen; auch so wird oft schon über zu umständliche Verfahren geklagt. Deswegen gibt es verschiedene Verfahren für verschiedene Zertifikate, was die Sache zwar unübersichtlicher macht, aber doch im Einzelfall oft einfacher.

Zusätzlich wird der Überblick dadurch erschwert, dass sowohl am LRZ wie auch anderswo provisorische Lösungen installiert worden sind, die nach und nach durch endgültige (oder sollte man vorsichtig „endgültigere“ sagen?) ersetzt werden, so dass für eine Übergangszeit mehrere solcher Strukturen parallel betrieben werden. Als allgemeines Modell für die Zertifizierung rund ums LRZ wird eine Hierarchie von Zertifizierungsstellen angestrebt, bei der jeweils die Zertifikate des LRZ oder anderer Institutionen im Münchner Wissenschaftsnetz durch eines von vier Zertifikaten der Public-Key-Infrastruktur des Deutschen Forschungsnetzes (DFN-PKI) beglaubigt werden, und zwar

  • nach dem Sicherheitslevel „Global“ (strengere Überprüfung der Identität der beteiligten Personen; DFN-Zertifikat ist nicht Wurzelzertifikat)

  • nach dem Sicherheitslevel „Classic“ (wie „Global“; wird nach und nach durch „Global“ ersetzt)

  • nach dem Sicherheitslevel „Basic“ (weniger strenge Überprüfung der Identität der beteiligten Personen; wird im LRZ-Umfeld nicht benutzt)

  • nach dem Sicherheitslevel „Grid“ (europaweit abgestimmte Richtlinien ähnlich denen der Sicherheitslevel „Global“ und „Classic“).

Die DFN-PKI stellt keine qualifizierten Zertifikate nach dem Signaturgesetz aus. Die Zertifikate des DFN nach den Sicherheitslevels „Classic“, „Basic“ und „Grid“ sind Wurzelzertifikate, die nicht in den Browsern vorab als vertrauenswürdig eingetragen sind; die Benutzer müssen also das entsprechende Wurzelzertifikat der DFN-PKI importieren, wenn sie von Fehlermeldungen verschont bleiben wollen. Hingegen ist das DFN-Zertifikat nach dem Sicherheitslevel „Global“ kein Wurzelzertifikat; es wird durch ein Zertifikat beglaubigt, das in einigen gängigen Browsern vorab eingetragen ist.

Das LRZ wird nicht alle Arten von Zertifikaten ausstellen. So verfügt es schon aus Gründen des Datenschutzes gar nicht über den Zugang zu den Personendaten, der notwendig wäre, um etwa den Angehörigen einer Hochschule in sinnvoller Weise persönliche Zertifikate auszustellen. Soweit das LRZ für andere Einrichtungen tätig wird, bedarf es dazu einer Vereinbarung mit der Leitung der jeweiligen Hochschule oder anderen Einrichtung. Was die Funktion des LRZ als Zertifizierungsstelle (CA) oder Registrierungsstelle (RA) in den Zertifikathierarchien des DFN angeht, ist der gegenwärtige Stand:

  Global Classic Grid
Server Nutzer Server Server Nutzer
TUM Hosting nein läuft aus ja ja
LMU Hosting nein nein ja ja
LRZ ja ja läuft aus ja ja
BAdW (ohne LRZ) kein Bedarf kein Bedarf nein kein Bedarf kein Bedarf
andere im MWN ja nein nein kein Bedarf kein Bedarf
UniBW M nein nein nein ja ja
  • ja: Das LRZ fungiert als RA (nicht unbedingt die einzige) für die genannte Einrichtung. Wie sie in Anspruch genommen wird, steht im Artikel „Wie man am LRZ ein Zertifikat beantragt“. – Die CA wird bei „Global“ (für TUM und LMU) durch die TUM bzw. die LMU, bei „Grid“ durch die DFN-PCA und in den übrigen Fällen durch das LRZ betrieben.

  • Hosting: Das LRZ fungiert als RA für die CA der LMU bzw. TUM. Im Gegensatz zu der Variante "ja" stellt die LRZ-RA nur Zertifikate für Server aus, die vom LRZ für die jeweilige Einrichtung betrieben werden.
    Wenn Sie ein Zertifikat für einen lokalen (d.h. nicht vom LRZ betriebenen) Server benötigen, wenden Sie sich bitte an die RA der LMU bzw. an die RA der TUM.

  • nein: Der Dienst ist zur Zeit nicht verfügbar, und es ist nicht geplant, dass er vom LRZ angeboten wird. Einrichtungen, für die es eine CA dieses Levels gibt, können den RA-Dienst selbst anbieten; das geht auch dann, wenn andere RAs derselben CA vom LRZ betrieben werden.

  • kein Bedarf: Das LRZ steht bereit, für die genannte Einrichtung als RA zu fungieren; es ist aber noch kein Bedarf signalisiert worden. Bei den „anderen“ Einrichtungen im MWN, insbesondere den Fachhochschulen, wäre vorher zu prüfen, wieweit das LRZ zuständig ist und ob der Betrieb einer eigenen CA für die Einrichtung nicht sinnvoller wäre.

  • läuft aus: Wegen des Umstiegs von „Classic“ auf „Global“ werden neue Zertifikate nur noch ausnahmsweise erstellt. Die bisherigen Zertifikate behalten aber ihre Gültigkeit.

Die Erweiterung der PKI-Dienste des LRZ ist nur noch für den Sicherheitslevel „Global“ vorgesehen. Eine weitere Einrichtung im MWN kann sich dabei auf eine von zwei Weisen einklinken:

  • Sie beantragt selbst beim DFN die Teilnahme an deren PKI im Sicherheitslevel „Global“ und eröffnet so eine CA und eine RA. Dadurch, dass in den Zertifikathierarchien des DFN die technische Arbeit (Betrieb von Rechnern usw.) regelmäßig an das DFN-CERT ausgelagert wird, bedeutet das nicht den Betrieb einer aufwendigen Infrastruktur; vielmehr ist die Einrichtung der CA nur ein Verwaltungsakt. Die Einrichtung kann dann mit dem LRZ vereinbaren, dass dieses RA-Aufgaben übernimmt; in der Regel geschieht das dadurch, dass das LRZ für die CA der Einrichtung eine weitere RA betreibt.

  • Sie benutzt eine vom LRZ betriebene CA und RA für ihre Zertifikate. Diese Variante ist nur für kleinere Einrichtungen gedacht, bei denen die erwartete Gesamtzahl von Zertifikaten den Aufbau einer eigenen CA nicht rechtfertigt.

Mit allen weiteren Fragen zu diesen Themen können Sie sich an die Zertifizierungsstelle des LRZ (pki@lrz.de) wenden.