Erstellung und Verwaltung von Nutzerzertifikaten aus der DFN-PKI an der Universität Kassel

Transkript

1 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Holger Konhäusner IT-Servicezentrum Universität Kassel Abteilung Anwendungsmanagement Arbeitsgruppe Kommunikation und Information

2 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 2 Agenda Warum verschlüsseln und zertifizieren? Zentrale oder dezentrale Verschlüsselung/Signierung? Erstellen von Benutzerzertifikaten Restore von Benutzerzertifikaten

3 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 3 Warum verschlüsseln und zertifizieren? Seit 2015 existiert die Kampagne Sichere an der Universität Kassel. Initiiert und gefördert durch den CIO Prof. Dr. Alexander Roßnagel. Ziel: Bekanntmachung der Vorteile von signierten und verschlüsselten s an der Universität Kassel. 1. Einführung der elektronischen Signatur in der Verwaltung und zentralen Einrichtungen 2. Einführung der Verschlüsselung von Mails in der Verwaltung und zentralen Einrichtungen

4 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 4 Zentrale oder dezentrale Verschlüsselung/Signierung? Zentrale Verschlüsselung/Signierung (Appliance): Verschlüsselung und Signierung geschieht erst, wenn die Mail die Uni verlässt. Vorteile: - Zertifikate und Schlüssel liegen an einem Ort - Keine Tätigkeiten für den erforderlich - Zugriff auf Mailboxen im Vertretungsfall und auf Gruppenmailboxen ist unproblematisch - Archivierung von s ist unproblematisch - Virenprüfung der Mail an zentraler Stelle ist möglich Nachteile: - Zertifikate und Schlüssel liegen an einem Ort (Angriff) - Keine Verschlüsselung und Signierung innerhalb der Uni - Hohe Kosten bei Kauf einer Appliance - Hoher Personalaufwand bei einer selbstgestrickten Lösung

5 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 5 Zentrale oder dezentrale Verschlüsselung/Signierung? Dezentrale Verschlüsselung/Signierung: Verschlüsselung und Signierung am Mailclient des s Vorteile: - Keine zusätzlichen Kosten - Relativ geringer Personalaufwand - Verschlüsselung und Signierung auch innerhalb der Uni möglich Nachteile: - Zugriff auf Mailboxen im Vertretungsfall problematisch - Zugriff auf Gruppenmailboxen nur mit Gruppenzertifikat möglich - Probleme bei Verlust des Zertifikats bzw. der Passphrase (weil Aufbewahrung beim )

6 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 6 Zentrale oder dezentrale Verschlüsselung/Signierung? Entschluss der Universität Kassel: Dezentrale Verschlüsselung! Zu lösendes Hauptproblem: Wie verhindern wir, dass der sein Schlüsselpaar verliert

7 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 7 Erstellen von Benutzerzertifikaten bisheriger Workflow Benutzer stellt über die Webschnittstelle des DFN-Vereins einen Zertifikatsantrag und druckt sich den Antrag in Papierform aus Benutzer kommt mit seinem Zertifikatsantrag und Ausweis persönlich beim Mitarbeiter des Teilnehmerservice vorbei Mitarbeiter stellt die Identität des Benutzers fest und genehmigt über die Java Schnittstelle des DFN-Vereins das Zertifikat Benutzer ruft den Link in dem Browser auf, mit dem er den Zertifikatsantrag gestellt hat und importiert von dort aus das Zertifikat in sein Client Automatisch wird eine generiert, in welchem das Zertifikat und der Downloadlink enthalten ist

8 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 8 Erstellen von Benutzerzertifikaten neuer Workflow Teilnehmerservice Mitarbeiter Teilnehmerservice Mitarbeiter kommt mit seinem Ausweis persönlich beim Mitarbeiter des Teilnehmerservice vorbei Mitarbeiter stellt die Identität des Benutzers fest und erstellt über die Java Schnittstelle des DFN-Vereins das Zertifikat erhält seinen Zertifikatsantrag, den er unterschreibt Backup der Datei ohne Passphrase aber verschlüsselt Benutzer ruft den Downloadlink im Browser auf und erhält ein Zertifikat (.p12) erhält Brief mit einem Downloadlink und einer PIN (PIN=Passphrase) zertifikat PKCS12 (.p12) In der Datenbank werden 2 Dateien abgespeichert

9 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 9 Erstellen von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice Teilnehmerservice Mitarbeiter Mitarbeiter stellt die Identität des Benutzers fest und erstellt über die Java Schnittstelle des DFN-Vereins das Zertifikat

10 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 10 Erstellen von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice erhält seinen Zertifikatsantrag, den er unterschreibt

11 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 11 Erstellen von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice Backup der Datei ohne Passphrase aber verschlüsselt zertifikat PKCS12 (.p12) In der Datenbank werden 2 Dateien abgespeichert

12 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 12 Erstellen von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice erhält Brief mit einem Downloadlink und einer PIN (PIN=Passphrase)

13 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 13 Erstellen von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice Benutzer ruft den Downloadlink im Browser auf und erhält ein Zertifikat (.p12)

14 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 14 Restore von Benutzerzertifikaten Workflow kommt mit seinem Ausweis persönlich beim Mitarbeiter des Teilnehmerservice vorbei Teilnehmerservice Mitarbeiter und Datenschutzbeauftragter Im Zwei-Augen-Prinzip wird mittels eines Tokens das Zertifikat aus dem Backup geholt erhält Brief mit einem Downloadlink und einer neuen PIN (PIN=Passphrase) Restore der Datei mithilfe des Schlüssels auf dem Token zertifikat wird mit neuer PIN gespeichert und ersetzt Benutzer ruft den Downloadlink im Browser auf und erhält sein Zertifikat (.p12)

15 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 15 Restore von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice Teilnehmerservice Mitarbeiter und Datenschutzbeauftragter Im Zwei-Augen-Prinzip wird mittels eines Tokens das Zertifikat aus dem Backup geholt Restore der Datei mithilfe des Schlüssels auf dem Token zertifikat wird mit neuer PIN gespeichert und ersetzt

16 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 16 Restore von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice erhält Brief mit einem Downloadlink und einer neuen PIN (PIN=Passphrase)

17 Erstellung und Verwaltung von zertifikaten aus der DFN-PKI an der Universität Kassel Seite 17 Restore von Benutzerzertifikaten mit der Java-Anwendung Teilnehmerservice erhält Brief mit einem Downloadlink und einer neuen PIN (PIN=Passphrase)