Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI



Ähnliche Dokumente
Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI

der DLR CA Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V

der Uni Konstanz Server CA in der

Erklärung zum Zertifizierungsbetrieb der DHBW CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der MDR CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI. - Sicherheitsniveau: Global -

der DFN-CERT Services CA in der

Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global -

zum Zertifizierungsbetrieb der HTW-Dresden CA in der DFN-PKI Hochschule für Technik und Wirtschaft Dresden (FH) CP & CPS V1.1,

- Sicherheitsniveau: Global -

So erhalten Sie Zertifizierungsstellen in Deutschland

Erklärung zum Zertifizierungsbetrieb der FH Lübeck CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UniBwM CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der Uni Halle Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der DBTG-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der Senatsverwaltung-Berlin-Schul-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der TU Darmstadt Classic CA in der DFN-PKI. - Sicherheitsniveau: Classic -

- Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der Senatsverwaltung-Berlin-Schul-CA in der DFN-PKI. - Sicherheitsniveau: Global -

der BAW CA in der DFN-PKI - Sicherheitsniveau: Global -

- Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FH-SWF-Basic CA in der DFN-PKI. - Sicherheitsniveau: Basic -

Erklärung zum Zertifizierungsbetrieb der Uni Potsdam CA in der DFN-PKI. - Sicherheitsniveau: Global -

der HTW-Dresden CA in der DFN-PKI - Sicherheitsniveau: Global -

- Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der Uni-Paderborn CA in der DFN-PKI. - Sicherheitsniveau: Global -

der DESY CA in der DFN-PKI - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FHWS CA 3 CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

der HSMd CA in der DFN-PKI - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FAU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

der Uni Marburg CA in der DFN-PKI - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der LMU CA in der DFN-PKI. - Sicherheitsniveau: Global -

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FZJ CA in der DFN-PKI. - Sicherheitsniveau: Global -

- Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UH-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der HAW-Landshut-Basic-CA in der DFN-PKI. - Sicherheitsniveau: Basic -

Erklärung zum Zertifizierungsbetrieb der RUB-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UNI-HALLE CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der DWD CA in der DFN-PKI. - Sicherheitsniveau: Global -

Ermächtigung. Rechenzentrum Universität Stuttgart

Erklärung zum Zertifizierungsbetrieb der FHB-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der DWD CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FHDO-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Erklärung zum Zertifizierungsbetrieb der TU Ilmenau CA in der DFN-PKI

Erklärung zum Zertifizierungsbetrieb der HCUHH CA in der DFN-PKI

- Sicherheitsniveau: Global -

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Erklärung zum Zertifizierungsbetrieb der FHWF-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich

Internationales Altkatholisches Laienforum

White Paper - Umsatzsteuervoranmeldung Österreich ab 01/2012

Leitfaden. zur Registrierung und Beschaffung einer elektronischen Signatur für die IKK classic Ausschreibungsplattform.

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Kundeninformation zur Meldungserfassung mit dem SAP Solution Manager der CPRO Industry Project and Solutions GmbH

DELFI. Benutzeranleitung Dateiversand für unsere Kunden. Grontmij GmbH. Postfach Bremen. Friedrich-Mißler-Straße Bremen

Bundesanstalt für Straßenwesen V4z - lf (ANERK)

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

Hinweise zum elektronischen Meldeformular

Anleitung für IQES-Verantwortliche Schulkonto verwalten

Zertifikate Swiss Government SSL CA 01

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Paisy epayslip - Verfahren Elektronische Verdienstabrechnung (Handout für Mitarbeiter)

Nutzung dieser Internetseite

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil C6:

Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Benutzerhandbuch - Elterliche Kontrolle

Aktivierung der digitalen Signatur in Outlook 2003

Installation der Demoversion vom M-Doc AutoSigner

Synchronisations- Assistent

[Leitfaden] [Sicher kommunizieren mit der Stadt Konstanz (VPS)] Einleitung. [Stadt Konstanz] [Herausgeber: Hauptamt] [Stand: 2010]

Aktivierung der digitalen Signatur in Outlook Express 6

CONTInuität und Leistung seit 1970

Einzel- s und unpersönliche Massen-Mails versenden

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

Shopz Zugang Neuanmeldung

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

DIRECTINFO 5.7 SICHERHEITSKONZEPTE FÜR BENUTZER, INFORMATIONEN UND FUNKTIONEN

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Digital Post - Elektronische Behördenpost

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Auftrag des Lieferanten an den Netzbetreiber zur Unterbrechung der Anschlussnutzung gemäß 24 Abs. 3 NAV

Transkript:

Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI - Sicherheitsniveau: Global - Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CPS der DLR-CA V2.3 18.07.2007 CPS der DLR-CA Seite 1/6 V2.3

1 Einleitung Die DLR-CA ist eine Zertifizierungsstelle des DFN-Anwenders Deutsches Zentrum für Luftund Raumfahrt e.v. (DLR) innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der DLR-CA von der DFN-PCA ausgestellt wird. Für den Betrieb der DLR-CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID 1.3.6.1.4.1.22177.300.1.1.5.2.1 CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID 1.3.6.1.4.1.22177.300.2.1.5.2.1 Die vom CPS der DFN-PCA abweichenden Regelungen für die DLR-CA sind in Kapitel 3 dieses Dokuments beschrieben. Die DLR-CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI" Version: 2.3 3 Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die DLR-CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der DLR-CA lautet: Deutsches Zentrum für Luftund Raumfahrt e.v. (DLR) Telefon: +49 2203 601 4015 IK-M Telefax: +49 2203 601 4013 Linder Höhe D - 51147 Köln E-Mail: ca@dlr.de WWW: http://www.dlr.de Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der DLR CA sowie weiteren Standorten des Unternehmens Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) bzw. des Unternehmens T-Systems SfR GmbH. Köln, Linder Höhe, 51147 Köln, Tel.: 02203 601 4015 (DLR) Köln, Linder Höhe, 51147 Köln, Tel.: 02203 601 3621 (T-Systems SfR) Berlin, Rutherfordstr. 2, 12489 Berlin, Tel.. 030 67055 252 (T-Systems SfR) CPS der DLR-CA Seite 2/6 V2.3

Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt 1.3.1 genannte Einrichtung. Der Betrieb der DLR-CA erfolgt durch: DFN-Verein Telefon: +49 30 884299-24 Alexanderplatz 1 D - 10178 Berlin Telefax: +49 30 884299-70 E-Mail: pki@dfn.de Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" WWW: www.pki.dfn.de Die verantwortliche Person für das CPS der DLR-CA ist: Deutsches Zentrum für Luftund Raumfahrt e.v. Uwe Gorschütz IK-M Telefon: +49 2203 601 4015 Linder Höhe Telefax: +49 2203 601 4013 D - 51147 Köln E-Mail: uwe.gorschuetz@dlr.de Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: http://www.pki.dfn.de/teilnehmer Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der DLR-CA enthalten die Attribute "C=DE" und "O=Deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR)". Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Wenn eine E-Mail Adresse angegeben wird, so kann diese über das Attribut "EMAIL=" in den Namen aufgenommen. Die E-Mail Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Funktionale oder Rollenzertifikate werden im CN mit dem vorangestellten Kürzel GRP: gekennzeichnet. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE, O=Deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR), [OU=<Organisationseinheit>,] CN=<Eindeutiger Name>, [emailaddress=<e-mail Adresse>] Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die DLR-CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN-Anwenders Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) sowie im Auftrag der Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) handelnden Personen an. Zu CPS der DFN-PCA: "4.1.2 Registrierungsprozess" Der Registrierungsprozess kann mit zwei verschiedenen Abläufen durchgeführt werden, nämlich entweder mit einem Papierantrag, der bei der Registrierungsstelle ausgefüllt abgegeben wird, oder aber über ein Auftragsmanagementsystem. In jedem Fall sind folgende Voraussetzungen notwendig: CPS der DLR-CA Seite 3/6 V2.3

Er/Sie muss über eine SAP Personalnummer des DLR verfügen Er/Sie muss über einen aktiven AD (Active Directory) Account in der Domäne intra.dlr.de verfügen Er/Sie muss eine DLR E-Mailadresse besitzen Die Beantragung von Benutzerzertifikaten erfolgt über ein Auftragsmanagementsystem, an dem sich der Anforderer mit dem Benutzer Account des DLR Directory Services anmelden muss. Die Registrierungsstelle wird per Email über den Auftrag informiert, der aus Sicht der RA als Antrag behandelt wird. Bei Neuausstellung von Benutzerzertifikaten wird grundsätzlich ein Set von drei Zertifikaten mit jeweils dedizierten Verwendungszwecken für Signatur, Verschlüsselung und Authentifizierung ausgestellt. Zertifikate werden nur auf Krypto-Geräten ausgeliefert. Im Falle eines Verlustes bzw. Gerätedefektes werden alle Zertifikate des Altgerätes gesperrt, auf das neue Krypto-Gerät werden dann jedoch neben einem neuen Set von drei Zertifikaten mit den o.a. Verwendungszwecken gegebenenfalls auch hinterlegte Verschlüsselungsschlüssel gespeichert (siehe auch 4.12.1). Zu CPS der DFN-PCA: "4.4.2 Veröffentlichung des Zertifikats" Die DLR-CA veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die oben angegebenen Informationssysteme. Zertifikate für natürliche und juristische Personen werden nur dann durch die DLR-CA veröffentlicht, wenn Sie für den Einsatzzweck Signatur und Email-Verschlüsselung verwendet werden sollen. Zertifikate für den Einsatzzweck Authentifizierung werden auf Grund der darin enthaltenen schutzwürdigen Daten nicht veröffentlicht. Zertifikate, die für mehrere Einsatzzwecke verwendet werden und dazu auch schutzwürdige Informationen beinhalten, werden nicht veröffentlicht. Zu CPS der DFN-PCA: "4.12.1 Richtlinien und Praktiken zur Schlüsselhinterlegung und wiederherstellung" Die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA bietet die Möglichkeit der Hinterlegung privater Schlüssel für Verschlüsselungszertifikate, nicht jedoch für Signaturund Authentifizierungszertifikate an. Im Rahmen der Zertifikatbeantragung in den Registrierungsstellen der Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA wird ein verschlüsseltes Backup der privaten Schlüssel erzeugt und in einer Datenbank gespeichert, die sich in den Räumlichkeiten des DLR befindet. Die Verschlüsselung erfolgt mittels Keybackup- Rollenzertifikat. Der private Schlüssel des Rollenzertifikats wird auf einem Krypto-Gerät gespeichert, welches mit einer PIN belegt wird, die jeweils hälftig und unabhängig voneinander von zwei Personen generiert wird. Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Krypto- Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Es wird gewährleistet, dass Mitarbeiter der Registrierungsstellen keine Kenntnis der jeweiligen PIN erlangen. Ein Zugriff auf das verschlüsselte Backup durch eine einzelne Person ist ausgeschlossen. Die Herausgabe von hinterlegten privaten Verschlüsslungsschlüsseln erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf einem Krypto-Gerät. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines Krypto-Gerätes werden hinterlegte private Verschlüsselungsschlüssel des betroffenen Zertifikatnehmers von der Registrierungsstelle der Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA auf ein neues Gerät gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Krypto-Gerät wird danach durch die Registrierungsstelle unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Verschlüsselungsschlüssels (durch Verlust oder Diebstahl des Krypto-Gerätes) wird der hinterlegte Schlüssel auf einem neuen CPS der DLR-CA Seite 4/6 V2.3

Kryptogerät an den betreffenden Zertifikatnehmer ausgehändigt. Das Verschlüsselungszertifikat sowie alle anderen Zertifikate, die sich auf dem Krypto-Gerät befanden, werden davon unabhängig unverzüglich gesperrt. c) Verschlüsselungsschlüssel werden ansonsten über die Gültigkeit von Verschlüsselungszertifikaten hinaus unbefristet aufbewahrt d) Im Falle des Ausscheidens eines Zertifikatnehmers aus dem Unternehmen, länger andauernder Krankheit, Tod oder zum Zweck der Beweissicherung bei Verdacht auf strafrechtliche Handlungen können Mitarbeiter der Registrierungsstellen nach Genehmigung durch ein Mitglied des Vorstandes oder den Datenschutzbeauftragten des Deutschen Zentrums für Luft- und Raumfahrt e.v. (DLR) den oder die privaten Verschlüsselungsschlüssel des betreffenden Mitarbeiters zur Sicherstellung verschlüsselter Daten verwenden. Noch gültige Verschlüsselungszertifikate sowie alle anderen Zertifikate, die sich im Besitz des Mitarbeiters befanden, werden davon unabhängig unverzüglich gesperrt. Die Wiederherstellung des hinterlegten privaten Schlüssels kann in jedem Fall nur unter Hinzuziehung eines weiteren Mitarbeiters (PIN-Geber RA) durchgeführt werden. Außerdem wird der Datenschutzbeauftragte des DLR unverzüglich informiert. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die DLR-CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) bei der DFN-PCA betrieben. Daher sind für die DLR-CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt wie für die DFN-PCA (siehe CPS der DFN-PCA). Ausnahmen betreffen die Kapitel 5.2.1, 5.2.2 und 5.2.4, die im Folgenden aufgeführt sind. Zu CPS/CP der DFN-PCA: "5.2.1 Sicherheitsrelevante Rollen" Für die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA gilt die folgende Ergänzung der Rollendefinition zum Thema Registrierungsdienst Rolle Funktion Kürzel Registrator (Ergänzung der Funktion für bereits existierende Rolle) PIN-Geber RA (neue Rolle) Mitglied des Vorstandes Datenschutzbeauftragter Backup inkl. Verschlüsselung privater Verschlüselungsschlüssel mit Keybackup-Zertifikat Ausgabe und Wiederherstellung von Krypto- Geräten PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln Erteilung der Genehmigung zur Wiederherstellung von privaten Schlüsseln von ausgeschiedenen, kranken oder verstorbenen Zertifikatnehmern sowie zum Zweck der Beweissicherung bei Verdacht auf strafrechtlichen Handlungen RAO1 (statt RG) RAO2 GF DSB CPS der DLR-CA Seite 5/6 V2.3

Zu CPS/CP der DFN-PCA: "5.2.2 Involvierte Mitarbeiter pro Arbeitsschritt" In der folgenden Tabelle sind die Tätigkeiten beschrieben, bei denen das Vier-Augen-Prinzip - realisiert durch jeweils einen Vertreter der angegebenen Rollen - eingehalten werden muss. Alle anderen Tätigkeiten können von einer Person durchgeführt werden. Tätigkeit Freigabe und Übermittlung von Zertifikat- und Sperranträgen für CA- Zertifikate Erzeugung von Schlüsselpaaren für CA-Zertifikate Starten von Prozessen zur Ausstellung von Zertifikaten und Sperrlisten Austausch von Hard- und Softwarekomponenten für die Zertifizierung PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln zur Übergabe an den Zertifikatnehmer Wiederherstellung von privaten Verschlüsselungsschlüsseln ohne Übergabe an den Zertifikatnehmer Rollen RG & TS CAO1 & CAO2 CAO1 & CAO2 SA & CAO1 RAO1, RAO2 RAO1, RAO2, DSB RAO1, RAO2, VO oder RAO1, RAO2, DSB Zu CPS/CP der DFN-PCA: "5.2.4 Trennung von Rollen" Für die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA gelten folgende Ergänzungen bzw. Änderungen hinsichtlich der Unverträglichkeit von Rollen. Rolle Unverträglich mit TS RAO1 RAO2 CAO1 CAO2 SA SO R DSB VO TS Teilnehmerservice X X X RAO1 Registrator X X X X RAO2 PIN-Geber X X X X X x CAO1 - CA Mitarbeiter X X X X CAO2 - PIN Geber X X SA Systemadministrator X X X SO Systemoperator X X X X X R - Revision X X X X X X X DSB - Datenschutzbeauftragter VO-Vorstand X X CPS der DLR-CA Seite 6/6 V2.3

CPS der DLR-CA Seite 7/6 V2.3

Es wird folgende Aufteilung der Rollen auf Personengruppen gewählt: Personengruppe Rollen 1 R 2 TS, RG, RAO1 3 RAO2 4 CAO1 5 CAO2, SA, SO 6 VO, DSB Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung" Schlüssel für Benutzerzertifikate werden bei der Registrierungsstelle erzeugt. Schlüssel für Signatur- und Authentifizierungsschlüssel werden auf einem Krypto-Gerät erzeugt. Schlüssel für Verschlüsselungszwecke werden in Software generiert und anschließend auf das Krypto- Gerät und verschlüsselt in das Schlüsselbackup geschrieben. Schlüssel für Serverzertifikate können sowohl beim Zertifikatnehmer als auch bei der Registrierungsstelle erzeugt werden. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Bei postalischer Auslieferung von PIN-Brief und Krypto-Gerät wird durch zeitlich versetzten Versand gewährleistet, dass ein Angreifer nicht gleichzeitig Zugriff auf Krypto-Gerät und PIN-Brief hat. Bei postalischer Auslieferung muss innerhalb von 10 Arbeitstagen eine vom Zertifikatnehmer unterschriebene Bestätigung über den unversehrten Empfang von PIN-Brief und Krypto-Token bei der ausgebenden Registrierungsstelle eintreffen. Zur Kontrolle werden Aushändigung bzw. Versand in einem Logbuch mit Angabe des Datums dokumentiert. Sollte die Empfangsbestätigung nach dieser Frist nicht vorliegen, werden alle Zertifikate, die sich auf dem ausgegebenen Token befinden, gesperrt. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA bietet die Möglichkeit zum Backup privater Schlüssel von Zertifikatnehmern bei der RA entsprechend Kapitel 4.12.1 an. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die DLR-CA ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von drei Jahren. CPS der DLR-CA Seite 8/6 V2.3

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback