Studentenzertifikate für Online-Dienste der Hochschule Landshut
Entstanden aus einem Studienprojekt des Fachbereichs Informatik Start Sommersemester 2001 Ziel: CA für FH-Server, Mitarbeiter und Studenten Anreiz für Studierende: Noteneinsicht mit Hilfe von Zertifikaten Fertigstellung Januar 2002 CA realisiert auf einem Standalone Notebook Weboberfläche mit manueller Dateneingabe Keine Anbindung der Studentendatenbank Ausgabe von Zertifikaten auf Diskette Webserver mit SSL-Notenabfrage CA in der Hierarchie des DFN (WWW- Policy) Schon im ersten Semester wurden mehrere hundert Zertifikate ausgestellt Die FH Landshut CA - 1. Generation
Die FH Landshut CA - 2. Generation Sommersemester 2004 Neues Studienprojekt; Ziel: bessere Performanz CA auf Basis von selbsterstellten Skripten Einbindung des FH-ldap Servers Komfortable Antragstellung Download fertiger Zertifikate Online Verlängerungsmöglichkeit CA auf PC mit herausnehmbarer Festplatte Wintersemester 2006 Einrichtung SB-Portal für Studierende Prüfungsanmeldung Rückmeldung Notenabfrage Zertifkat ist verpflichtend für alle Studenten (ca.2500) Wie Wie geht geht es es weiter?
2006 Umgestaltung der DFN-PKI Alternativen für die FH Landshut: Weiterer Betrieb der FH-LA-CA in Landshut Die CA bleibt in der DFN Hierarchie Erfordert umfangreiche Anpassung von Policy und Prozessen Auslagerung der FH-LA-CA an DFN FH-LA ist ausgelagerte Registrierungsstelle, hat aber eigene CA Webschnittstelle zur Zertifikatserzeugung wird bereitgestellt
Bewertung durch die FH Landshut Anpassung der Prozesse erfordert hohen Aufwand Hardware Security Module Erweitertes Rollenkonzept Vier-Augen-Prinzip Webschnittstelle passt schlecht zu den internen Prozessen Zentrale Schlüsselerzeugung bei der FH-LA Download des fertigen Zertifikates (inkl. privatem Schlüssel) Online Verlängerungsmöglichkeit Webschnittstelle skaliert schlecht für große Benutzerzahlen Keine Einbindung des Root-Zertifikats in Webbrowser Serverzertifikate müssten eigentlich extern gekauft werden Welchen Vorteil haben wir wir durch die die Einbindung in in die die DFN-Hierarchie?
Ende 2006 DFN bietet neue PKI Möglichkeiten an DFN Zertifikate werden in Browsern verankert Für Server-Zertifikate unabdingbar Macht S/MIME Signaturen global verifizierbar Webschnittstelle wurde überarbeitet CA kann weiter im eigenen Namensraum betrieben werden Zertifizierung muss an DFN ausgelagert werden Zugriff nur über Webschnittstelle möglich Planung der FH Landshut Global CA für Server und Mitarbeiter einrichten Eigene Root-CA für Studenten betreiben
Zusammenarbeit DFN FH-LA DFN entwickelt SOAP-Schnittstelle als Alternative zu Webinterface Public Schnittstelle zur Antragstellung Registration Authority (RA)-Schnittstelle zur Genehmigung von Zertifikaten FH LA beschließt Bis September 2007 Auslagerung der kompletten CA an DFN Integration der SOAP-Schnittstelle Ein ehrgeiziger Plan Vollständige Neuentwicklung der Registrierungsstelle inklusive Webserver Kein hauptamtliches Personal vorhanden Design und Implementierung durch engagierte Informatik-Studenten Erfolgreicher Rollout Enge Zusammenarbeit mit den DFN-PKI Mitarbeitern Implementierung in Java unter Verwendung von Apache Webserver, MySQL Datenbank und WebStart Ende September 2007 wurden innerhalb von drei Tagen 600 Zertifikate ausgestellt Aktueller Stand: ca. 5000 ausgestellte Zertifikate, ca. 3000 gültige und ca. 500 revokierte Zertifikate
Komponenten der Registration Authority Teilnehmerservice-Client für die Rolle Teilnehmerservice Authentifizierung Zertifikatsanträge erstellen Widerrufe beantragen Registrierungs-Client für die Rolle CA Mitarbeiter Zertifikatsanträge genehmigen Fehlerhafte Anträge löschen Widerrufe genehmigen Administration CA Daemon Zertifikate mit privatem Schlüssel packen (p12 Datei) Zertifikate in Datenbank stellen Anwender benachrichtigen Verlängerungsanträge bearbeiten CA Website Download der Zertifikate Verlängerungsanträge entgegennehmen Test und Hilfe
Workflow Zertifikatsantrag persönlich Zertifikatspasswort Teilnehmerservice Antrag generieren Widerruf beantragen Antrag Seriennummer DFN Public Schnittstelle RA Service Signierter Request Antrag genehmigen Antrag löschen Widerruf genehmigen Benutzer Datenbank, ldap-server E-Mail Benachrichtigung Zertifikat bereit zum download online authentifizierter Verlängerungsantrag Zertifikatspasswort zurück Benutzername und Passwort Zertifikatspasswort Zertifikatsdownload Daemon Zertifikat fertigstellen Benutzer benachrichtigen Verlängerungsantrag bearbeiten CA Webserver Benutzerauthentifizierung Zertifikatspassphrase prüfen Zertifikat ausliefern Verlängerungsantrag erstellen Regelmäßig prüfen ob Zertifikat vorhanden Zertifikat abholen Antrag Seriennummer DFN RA Schnittstelle Erzeuge Zertifikat DFN Public Schnittstelle
Die Mitarbeiterclients der Hochschule Landshut hmn *******
Der Registrierungsclient des DFN
Der Registrierungsclient des DFN wird zur Zeit nur für Serverzertifikate verwendet
Der Webserver der Zertifizierungsstelle
Download des Zertifikats
Online Verlängerung
Online Verlängerung
Support im Webserver
Zugang zu SB-Portal / HIS über Zertifikat
Herr Michael Maier mmaier2
Erfahrungen - Weiterentwicklung Breite Akzeptanz des digitalen Ausweises bei Studenten und Verwaltung Spürbare Serviceverbesserung für die Studenten Entlastung der Studentensekretariate (Rückmeldung, Prüfungsanmeldung) Deutlich höhere Sicherheit bei der Authentifizierung im Vergleich zu Benutzername/Passwort Der Supportaufwand ist erheblich Grobe Schätzung: 1/2 Stelle für Betrieb und Support Support erfolgt im Wesentlichen durch studentische Hilfskräfte
Der Supportaufwand ist erheblich
Auslandsantrag
Erfahrungen - Weiterentwicklung Breite Akzeptanz des digitalen Ausweises bei Studenten und Verwaltung Spürbare Serviceverbesserung für die Studenten Entlastung der Studentensekretariate (Rückmeldung, Prüfungsanmeldung) Deutlich höhere Sicherheit bei der Authentifizierung im Vergleich zu Benutzername/Passwort Der Supportaufwand ist erheblich Grobe Schätzung: 1/2 Stelle für Betrieb und Support Support erfolgt im Wesentlichen durch studentische Hilfskräfte Erweiterung der Policy - Auslandsantrag Studenten im Ausland, die kein gültiges Zertifikat besitzen konnten bislang nicht mehr auf das SB- Portal zugreifen Wenn eine Erstauthentifizierung erfolgt ist kann ein Verlängerungsantrag jetzt auch per Post gestellt werden. Dann ist eine Online Ausstellung des Zertifikats möglich.
Erfahrungen - Weiterentwicklung Breite Akzeptanz des digitalen Ausweises bei Studenten und Verwaltung Spürbare Serviceverbesserung für die Studenten Entlastung der Studentensekretariate (Rückmeldung, Prüfungsanmeldung) Deutlich höhere Sicherheit bei der Authentifizierung im Vergleich zu Benutzername/Passwort Der Supportaufwand ist erheblich Grobe Schätzung: 1/2 Stelle für Betrieb und Support Support erfolgt im Wesentlichen durch studentische Hilfskräfte Erweiterung der Policy - Auslandsantrag Studenten im Ausland, die kein gültiges Zertifikat besitzen konnten bislang nicht mehr auf das SB- Portal zugreifen Wenn eine Erstauthentifizierung erfolgt ist kann ein Verlängerungsantrag jetzt auch per Post gestellt werden. Dann ist eine Online Ausstellung des Zertifikats möglich. Wartung des implementierten Systems problematisch Die Entwickler haben die Hochschule verlassen. Weitere Entwicklung erfordert hohen Einarbeitungsaufwand. Plan zur Transition Integration des Teilnehmerservice und des Webservers in das SB-Portal. Anpassung des DFN-Client als Ersatz für den FH-RA-client in Zusammenarbeit mit dem DFN. Nur Dämon und Datenbank müssen vom CA-Team gepflegt werden.
Weiterentwicklung: Integration in andere Komponenten SB-Portal HIS Teilnehmerservice Antrag generieren Widerruf beantragen DFN Public Schnittstelle RA Service Datenbank, ldap-server Antrag genehmigen Antrag löschen Widerruf genehmigen DFN Client DFN RA Schnittstelle Daemon Erzeuge Zertifikat Zertifikat fertigstellen Benutzer benachrichtigen Verlängerungsantrag bearbeiten DFN Public Schnittstelle CA Webserver Benutzerauthentifizierung Zertifikatspassphrase prüfen Zertifikat ausliefern Verlängerungsantrag erstellen
Das FH-LA-CA-Team Thomas Schreck Florian Rothenaicher