Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich dfnpca@dfn-cert.de

Die neue RA-Oberfläche der DFN-PKI Jan Mönnich dfnpca@dfn-cert.de

Die Registrierungsstellen in der DFN-PKI heute 48. Betriebstagung des DFN-Vereins Folie 2

Web-Schnittstelle Momentan Bedienung der RA über Web-Schnittstelle 48. Betriebstagung des DFN-Vereins Folie 3

Web-Schnittstelle (2) Leichter Zugriff über Browser, aber Teilweise umständliche Bearbeitung Durchsuchen von Listen usw. Lokale Infrastruktur schwierig einzubinden (z.b. Benutzerdaten aus Verzeichnissen) Lokales Schlüsselbackup nicht möglich Beschreibung von SmartCards/Token nur umständlich möglich 48. Betriebstagung des DFN-Vereins Folie 4

Neue RA-Oberfläche 48. Betriebstagung des DFN-Vereins Folie 5

Neue RA-Oberfläche Lokale Anwendung mit grafischer Oberfläche für die Registrierungsstelle Kommunikation im Hintergrund über die SOAP-Schnittstelle Gesamte Funktionalität der bestehenden Web-Schnittstelle Verbesserungen Bearbeitung/Export mehrerer Anträge/Zertifikate Verwaltung mehrerer CAs (Grid und Global) 48. Betriebstagung des DFN-Vereins Folie 6

Neue RA-Oberfläche (2) Erweiterte Funktionalität Schlüsselerzeugung Schlüsselbackup PKCS#11-Schnittstelle zum Beschreiben von SmartCards / Token Verbindung zu LDAP und SQL-DBs PIN-Brief Funktion Assistenten zum Durchführen oft praktizierter Abläufe z.b. Serverzertifikat erstellen 48. Betriebstagung des DFN-Vereins Folie 7

Neue RA-Oberfläche (3) Anwendung in Java geschrieben Lauffähig unter vielen Plattformen (bisher getestet: XP,Vista,Linux,Mac OS X) Sun JRE oder JDK ab Version 1.5 Start über Java WebStart Dadurch immer neuste Version 48. Betriebstagung des DFN-Vereins Folie 8

Neue grafische Oberfläche 48. Betriebstagung des DFN-Vereins Folie 9

Erster Blick 48. Betriebstagung des DFN-Vereins Folie 10

Verwaltung mehrerer CAs Beliebig viele CAs können gleichzeitig verwaltet werden (Global und Grid) Jede CA eigenes RA-Operator Zertifikat, kein eigenes Profil 48. Betriebstagung des DFN-Vereins Folie 11

Verwaltung mehrerer CAs (2) Unterordner sind analog zur Web- Schnittstelle organisiert 48. Betriebstagung des DFN-Vereins Folie 12

Listenansicht Listenansicht der Anträge bzw. Zertifikate Subject-DN übersichtlich aufgespalten in mehrere Spalten Schnelle Filterfunktion (ähnlich Thunderbird) 48. Betriebstagung des DFN-Vereins Folie 13

Listenansicht (2) Mehrfachselektion und -bearbeitung in der Listenansicht möglich Genehmigen, Löschen von mehreren Anträgen etc. 48. Betriebstagung des DFN-Vereins Folie 14

Bearbeiten von Anträgen Bearbeiten von Anträgen übersichtlich in Dialogen 48. Betriebstagung des DFN-Vereins Folie 15

Assistent Serverzertifikat 48. Betriebstagung des DFN-Vereins Folie 16

Serverzertifikat Web-Schnittstelle Bisherige Schritte 1. Antrag generieren mit OpenSSL > openssl req new newkey keyin keyout... Daten für Antrag eingeben... 2. Antrag in Browser hochladen (öff. Schnittstelle) 3. Antrag in Browser genehmigen (RA-Schnittstelle) 4. Ausgestelltes Zertifikat aus E-Mail speichern 5. Ggf. Zertifikat mit Schlüssel zu PKCS#12 > openssl pkcs12 export in inkey out... 48. Betriebstagung des DFN-Vereins Folie 17

Assistent Serverzertifikat Assistent übernimmt alle diese Schritte RA Mitarbeiter (der auch Server-Admin ist) gibt nur Daten für den Server ein Assistent Serverzertifikat erstellen Server Daten eingeben Schlüssel & Antrag generieren Antrag hochladen Zertifikat empfangen PKCS#12 oder PEM speichern RA-Mitarbeiter DFN-PKI 48. Betriebstagung des DFN-Vereins Folie 18

Assistent Serverzertifikat (2) 48. Betriebstagung des DFN-Vereins Folie 19

Assistent Serverzertifikat (3) 48. Betriebstagung des DFN-Vereins Folie 20

Assistent Serverzertifikat (4) 48. Betriebstagung des DFN-Vereins Folie 21

Assistent Serverzertifikat (5) Für CAs, bei denen RA-Mitarbeiter = Server-Admin Schneller zum eigenen Serverzertifikat Kein OpenSSL zur Erzeugung eines Antrags erforderlich Kein Umweg über den Browser Speicherung gleich in PKCS#12 möglich Assistent existiert bereits und wird schon in der Pilotphase ausgeliefert 48. Betriebstagung des DFN-Vereins Folie 22

Assistent in Planung SmartCards / Token initialisieren 48. Betriebstagung des DFN-Vereins Folie 23

Assistent SmartCard Szenario Benutzerdaten werden in LDAP gepflegt SmartCard soll mit Zertifikat der DFN-PKI ausgegeben werden Verschlüsselte Sicherheitskopie des privaten Schlüssels gefordert Benutzer sollen SmartCard mit zufälligem Passwort und PIN-Brief erhalten 48. Betriebstagung des DFN-Vereins Folie 24

Assistent SmartCard (2) Beispiel Assistent Benutzer kommt mit Personalausweis zur RA RA-Mitarbeiter kontrolliert Ausweis und startet Assistenten Assistent übernimmt: Schlüsselerzeugung und Backup Antrag einreichen und Zertifikat abholen SmartCard beschreiben PIN-Brief drucken Benutzer erhält SmartCard mit PIN-Brief 48. Betriebstagung des DFN-Vereins Folie 25

Assistent SmartCard (3) Assistent SmartCard erstellen Benutzer in LDAP suchen Daten überprüfen Schlüssel & Antrag generieren Schlüssel Backup erstellen Antrag hin, Zertifikat zurück PIN-Brief drucken SmartCard PKCS#11 schreiben LDAP / AD RA-Mitarbeiter LDAP oder SQL-DB DFN-PKI RA-Drucker SmartCard 48. Betriebstagung des DFN-Vereins Folie 26

Fazit Assistenten Mit wenigen Eingaben viele Ausgaben bzw. Aktionen bewirken Zusammenfassung von häufigen Arbeiten und damit Zeitersparnis Nutzung lokaler Infrastruktur Abfrage/Schreiben von LDAP oder SQL-DBs Abfrage/Schreiben von SmartCards oder Token über PKCS#11-Schnittstelle Lokales Drucken von PIN-Briefen 48. Betriebstagung des DFN-Vereins Folie 27

Zusammenfassung 48. Betriebstagung des DFN-Vereins Folie 28

Zusammenfassung Neue RA-Oberfläche als Alternative zur Web-Schnittstelle Neue Funktionen Bequemere Verwaltung Assistenten SmartCards / Token initialisieren Einbindung der lokalen Infrastruktur Nutzer für Pilotphase gesucht Bei Interesse bitte E-Mail an pki@dfn.de 48. Betriebstagung des DFN-Vereins Folie 29