X.509v3 Zertifizierungsinstanz der Universität Würzburg



Ähnliche Dokumente
Stammtisch Zertifikate

Internet Security: Verfahren & Protokolle

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security

Public-Key-Infrastrukturen

Apache Webserver with SSL on Windows

Programmiertechnik II

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

ViMP 3.0. SSL Einrichtung in Apache 2.2. Verfasser: ViMP GmbH

Installation eines SSL Zertifikates unter Apache http Server 2.x

USB-Tokens. Technik und Einsatzgebiete

U3L Ffm Verfahren zur Datenverschlüsselung

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Public-Key-Infrastrukturen

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser

Beantragen eines Serverzertifikates. Registrierungsstelle der Ernst Moritz Arndt Universität Greifswald (UG-RA)

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

Apache HTTP-Server Teil 1

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr.

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

-Verschlüsselung mit Geschäftspartnern

Public-Key-Infrastrukturen

Public Key Infrastrukturen

Webseiten mit HTTPS bereitstellen und mit HSTS und HPKP sichern

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Public-Key-Infrastrukturen

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität

Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global -

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern

Anleitung zur Kontrolle der qualifizierten elektronischen Signatur mit Hilfe des Adobe Readers Version 8.0

Einführung in die symmetrische und asymmetrische Verschlüsselung

Apache HTTP-Server Teil 1

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen

Installation eines SSL Zertifikates am Microsoft IIS 5.0 v0.4

Erste Vorlesung Kryptographie

Webseiten mit HTTPS bereitstellen und mit HSTS sichern

Freie Zertifikate für Schulen und Hochschulen

A-CERT CERTIFICATION SERVICE 1

Zertifizierungsrichtlinie der BTU Root CA

Informatik für Ökonomen II HS 09

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

der Uni Konstanz Server CA in der

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI

Wie installiere ich das CAcert Root-Zertifikat?

Einrichten und Verwenden der -Verschlu sselung

Basisanwendung für sichere elektronische Kommunikation in der Bayerischen Verwaltung - 2. Bayerisches Anwenderforum egovernment

SSL/TLS und SSL-Zertifikate

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Digitale Identitäten in der Industrieautomation

Public-Key-Infrastrukturen

zum Zertifizierungsbetrieb der HTW-Dresden CA in der DFN-PKI Hochschule für Technik und Wirtschaft Dresden (FH) CP & CPS V1.1,

Semantic Web Technologien. Security and Trust. Sebastian Henke. Betreuer: Mark Giereth VIS 06

MKalinka IT Beratung 1

Vorwort ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Studentenzertifikate für Online-Dienste der Hochschule Landshut

Verteilte Systeme Unsicherheit in Verteilten Systemen

SSL-Zertifikate. ausgestellt bzw. bezogen von den Informatikdiensten. Dieter Hennig. 25. November ETH Zürich. SSL-Zertifikate.

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.5 Berlin, März Copyright 2015, Bundesdruckerei GmbH

SSL-Zertifikate. Dr. Christopher Kunz

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Überprüfung der digital signierten E-Rechnung

Studentenzertifikate für Online-Dienste der Fachhochschule Landshut

Henning Mohren Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen

Informationen zur sicheren -Kommunikation. Unternehmensgruppe ALDI SÜD

Anforderungen an elektronische Signaturen. Michel Messerschmidt

Zertifizierungsrichtlinien

Public-Key-Infrastrukturen

Kontakt: Bundesdruckerei GmbH Oranienstraße 91, D Berlin Tel +49 (0) Fax +49 (0)

Verteilte Systeme. Übung 10. Jens Müller-Iden

E r s t e l l u n g e i n e s Gateway-Zertifikats

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.0 Berlin, November Copyright 2013, Bundesdruckerei GmbH

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

-Verschlüsselung mit Geschäftspartnern

Trau, schau, wem Was sind Zertifikate und was macht die KNF-CA

TOPAL ZERTIFIKAT MANAGER ANLEITUNG ZUR ERSTELLUNG VON ZERTIFIKATEN

Installationsanleitung für die h_da Zertifikate

Authentifizieren und Vertrauen schaffen

Digital signierte Rechnungen mit ProSaldo.net

Digitale Zertifikate von der UH-CA (Certification Authority der Universität Hannover)

Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA).

Dokumentation Mail-Test

Kryptographie. Ich doch hab nichts zu verbergen. IT-Security Bootcamp. Ziel. Was also tun? asymmetrisch. symmetrisch

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Erklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI. - Sicherheitsniveau: Global -

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

-Verschlüsselung viel einfacher als Sie denken!

OFTP2 - Checkliste für die Implementierung

Presseinformation digitale Zertifikate

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D7:

ENERGYCA FÜR DIE SMART METERING PKI

Zertifikate Swiss Government SSL CA 01

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Allgemeine Erläuterungen zu

-Verschlüsselung mit Geschäftspartnern

Transkript:

X.509v3 Zertifizierungsinstanz der Universität Würzburg Markus Krieger Rechenzentrum Uni Würzburg ca@uni-wuerzburg.de 22.01.06 1

Notwendigkeit von Zertifikaten Steigende Anzahl von Kommunikationsbeziehungen zu Nutzern/Ressourcen erfordert: Verschlüsselung gegen Mitlesen Signatur um Veränderungen zu erkennen/nicht Abstreitbarkeit Authentisierung zur Feststellung der Identität Authorisierung eines Zugriffs Public Key Verfahren Zertifikate, die einen Key mit einer Identität verknüpfen ABER: Wie kann ein Schlüsseltausch / eine Identitätsprüfung effizient erfolgen? X.509v3 Zertifikate mit Zertifizierungsinstanz 2

Zertifizierungsinstanz (CA) Signiert Zertifikate Gibt Policy vor (Certification Practice Statement, CPS) Sorgt für die Eindeutigkeit der zertifizierten Identitäten Pflegt Certificate Revocation List (CRL) Hierarchie mit Unter-CAs bildet Certificate Chain. Applikation muss lediglich die Root-CA kennen und ihr vertrauen Root-CA Sub-CA Sub-CA Cert Sub-CA Cert Cert 3

Zertifikatstypen CA-Zertifikate (Zertifikate Signieren, CRL Signieren) Das Rootzertifikat ist als einziges Zertifikat Self signed Serverzertifikate (Signieren, Verschlüsseln) Verwendung für SSL (HTTPS, IMAPS,...) Userzertifikate (Signieren, Authentifizieren, Verschlüsseln) 4

Aufbau eines Zertifikats Version: 3 (0x2) Serial Number:7 (0x7) Signature Algorithm: sha1withrsaencryption Issuer: C=DE, O=Universitaet Wuerzburg, CN=SERVER-CA/emailAddress=ca@uni-wuerzburg.de Validity Not Before: Apr 2 10:48:58 2004 GMT Not After : Apr 2 10:48:58 2006 GMT Subject: C=DE, O=Universitaet Wuerzburg, OU=Rechenzentrum, CN=www.rz.uniwuerzburg.de/emailAddress=plehn@rz.uni-wuerzburg.de Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e1:67:25:e0:3e:9d:97:20:d3:21:a1:83:ba:48:... X509v3 extensions: X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Subject Key Identifier: 44:6D:AA:33:F1:49:D3:E3:AA:3A:68:ED:68:07:A6:4E:BD:D7:88:FD X509v3 Authority Key Identifier: keyid:2c:8a:99:a2:08:21:fd:65:83:3e:b9:d5:67:86:f1:8c:2b:15:b7:21 DirName:/C=DE/O=Universitaet Wuerzburg/CN=UNIWUE-CA/emailAddress=ca@uni-wuerzburg.de serial:01 X509v3 CRL Distribution Points: URI:http://ca.uni-wuerzburg.de/server-ca.crl... Signature Algorithm: sha1withrsaencryption 3f:10:96:1a:61:79:ac:02:e4:21:7b:f2:58:9d:85:7b:69:fc:... 5

UNIWUE-CA Sub-CA zur DFN-PCA Zuständigkeit auf die Universität Würzburg eingeschränkt. UNIWUE-CA zertifiziert nur Sub- CAs. USER-CA ist Platzhalter, da innerhalb der Uni die Strukturen für eine PKI fehlen. 6

Certificate Signing Request RSA-Schlüsselpaar erstellen openssl genrsa -des3 -out key.pem 1024 CSR erzeugen openssl req -new -sha1 -key key.pem -out csr.pem Wichtig: Subject-DN muss folgende Form haben: C=DE, O=Universitaet Wuerzburg, OU=<Bereich>, CN=<Name> Überprüfen des CSR openssl req -noout -text -in <csr.pem> Fingerprint für Teilnehmererklärung openssl req -noout -modulus -in server.csr openssl sha1 -c 7

Zertifikat beantragen CSR vorab zur Prüfung an ca@uni-wuerzburg.de Teilnehmererklärung ausfüllen (mit Fingerprint und Angabe eines gültigen Personal-/Reisepasses) Akkreditierungsschreiben von Zeichnungsberechtigtem einholen Persönliches Erscheinen mit Teilnehmererklärung und angegebenem Ausweiss bei der CA Sobald alle Voraussetzungen erfüllt sind, kann die CA das Zertifikat ausstellen und per Mail verschicken Zertifikat überprüfen openssl x509 -noout -text -in <cert.pem> 8

GRID-RA GRID-CA stellt eigene Zertifikatshierarchie dar. Zertifikate werden nur direkt von der DFN-PCA ausgestellt. Um Teilnehmern der Uni Würzburg ein persönliches Erscheinen in Hamburg zu ersparen betreibt das RZ eine Registrierungsstelle (RA). Diese nimmt Teilnehmeranträge, Akkreditierungen und CSRs entgegen und leitet sie nach einer Prüfung an die DFN-PCA weiter. Zertifikate werden direkt von der DFN-PCA an den Zertifikatnehmer geschickt. 9

Einrichtung Apache Folgende Direktiven müssen in der httpd.conf angepasst werden: SSLEngine on SSLCertificateFile /path/to/server.crt SSLCertificateKeyFile /path/to/server.key SSLCertificateChainFile /path/to/ca.crt Beim Starten des Apache muss des SSL-Modul durch Angabe von -D SSL aktiviert werden 10

Kommandos & Links OpenSSL: openssl help bzw. openssl <commando> help openssl s_client -connect <host:port> -showcerts -CAfile root-ca-cert.pem Links: DFN-PCA: http://www.dfn-pca.de UNIWUE-CA: http://ca.uni-wuerzburg.de CSRs: http://ca.uni-wuerzburg.de/csr 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback