IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Praktische Umsetzung UNIKA-CA 99<br />
5.1 UNIKA-CA Policy<br />
Die Policy e<strong>in</strong>er CA enthält b<strong>in</strong>dende Vorschriften, die <strong>in</strong>nerhalb <strong>der</strong> CA e<strong>in</strong>gehalten werden<br />
um Zertifikate auszustellen. Sie unterliegen e<strong>in</strong>er strengen Prüfung durch die PCA <strong>der</strong> CA.<br />
Für die UNIKA-CA ist dies die PCA des DFN. Die aktuelle Policy <strong>in</strong> Version 2.2 <strong>der</strong><br />
UNIKA-CA wird im folgenden erläutert.<br />
Die Policy def<strong>in</strong>iert des weiteren die Sicherheitsanfor<strong>der</strong>ungen denen die UNIKA-CA genügen<br />
muss. Hierbei ist vorgeschrieben, dass <strong>der</strong> Zertifizierungsrechner ” sicher“ se<strong>in</strong> muss. Die<br />
Sicherheit ist dann gewährleistet, wenn <strong>der</strong> Rechner vor unbefugtem Zugriff gesichert ist. Er<br />
darf sich ausschließlich <strong>in</strong>nerhalb des RZ bef<strong>in</strong>den und ke<strong>in</strong>eswegs über Netzwerkanschlüsse<br />
verfügen. Somit wird gewährleistet, dass nur <strong>der</strong>jenige Zertifikate ausstellen kann, <strong>der</strong> auch<br />
Zugriff zum Zertifizierungsrechner besitzt. Diese adm<strong>in</strong>istrative Person ist e<strong>in</strong>ziger Inhaber<br />
des ” private-keys“, welcher zur Erstellung e<strong>in</strong>es Zertifikates notwendig ist. Dieser ” privatekey“<br />
hat sich auf e<strong>in</strong>em Passwortgeschützten Wechseldatenträger zu bef<strong>in</strong>den (Smartcard,<br />
Disk, CD-Rom). Dieser Schlüssel darf auf ke<strong>in</strong>en Fall das RZ verlassen. Hierbei sei angemerkt,<br />
dass sich <strong>der</strong> ” private-key“ <strong>der</strong> UNIKA-CA <strong>in</strong> e<strong>in</strong>em Tonnenschweren und m<strong>in</strong>destens<br />
48-Stunden-Brandschutzsicheren Tresor bef<strong>in</strong>det. Der Tresorschlüssel bef<strong>in</strong>det sich <strong>in</strong> Besitz<br />
des Adm<strong>in</strong>istrators <strong>der</strong> UNIKA-CA. Weiterh<strong>in</strong> hat <strong>der</strong> Signatur-Schlüssel ausschließlich <strong>der</strong><br />
Signierung von CA-Schlüsseln zu dienen. Für Benutzerschlüssel und Wi<strong>der</strong>rufslisten werden<br />
Sub-CA-Schlüssel verwendet. Die UNIKA-CA stellt grundsätzlich ke<strong>in</strong>e Benutzerschlüssel<br />
aus. Dies ist alle<strong>in</strong>ige Aufgabe <strong>der</strong> Antragssteller. Der Signatur-Schlüssel besitzt e<strong>in</strong>e<br />
M<strong>in</strong>destlänge von 2048 Bit. Somit genügt er bei weitem den Sicherheitsanfor<strong>der</strong>ungen von<br />
heute und kommen<strong>der</strong> Jahre. Des weiteren unterliegt je<strong>der</strong> Mitarbeiter sowie Angestellte <strong>der</strong><br />
UNIKA-CA <strong>der</strong> E<strong>in</strong>haltung des Datenschutzes. Vertrauliche Daten <strong>der</strong> Zertifizierungsnehmer<br />
s<strong>in</strong>d vertraulich zu behandeln. Diese Sicherheitsanfor<strong>der</strong>ungen gelten zum großen Teil auch<br />
für RAs.<br />
Weiter schreibt die Policy vor, dass e<strong>in</strong> Zertifizierungsnehmer se<strong>in</strong>e Schlüssel autark zu<br />
generieren hat. Hierbei ist e<strong>in</strong> asymmetrisches Verschlüsselungsverfahren zu wählen. E<strong>in</strong>e<br />
m<strong>in</strong>destlänge <strong>der</strong> Schlüssel von 1024 Bit ist hierbei penibel e<strong>in</strong>zuhalten. Des weiteren ist e<strong>in</strong><br />
Zerftifizierungsnehmer dazu verpflichtet, se<strong>in</strong>en ” private-key“ geheim zu halten. Ke<strong>in</strong>eswegs<br />
darf er se<strong>in</strong>en ” private-key“ an Dritte weitergeben. Bei Missachtung erlicht die Gültigkeit<br />
des Zertifikats. Der Zertifikats-Antragssteller muss sich e<strong>in</strong>er Identitätsprüfung unterziehen.<br />
Hierzu genügt <strong>in</strong> den meisten Fällen <strong>der</strong> persönliche Personalausweiß. An dieser Stelle sei<br />
wie<strong>der</strong>um erwähnt, dass die CA nicht verpflichtet ist Zertifikate auszustellen. Sie kann ohne<br />
Angaben von Gründen die Vergabe von Zertifikaten verwähren. Die N<strong>am</strong>enswahl ist nach<br />
dem X.500-Standard zu generieren. Somit wird die unterscheidbarkeit <strong>der</strong> N<strong>am</strong>en sichergestellt.<br />
Zertifikate haben e<strong>in</strong>e maximale Gültigkeitsdauer von e<strong>in</strong>em Jahr und dürfen nicht<br />
verlängert werden. Der Antragssteller hat weiterh<strong>in</strong> e<strong>in</strong> schriftliche Teilnahmeerklärung zu<br />
unterzeichnen.<br />
Die User-CA-Policy verwendet, wie alle an<strong>der</strong>en Policies <strong>der</strong> UNIKA-CA, die X.509v3-<br />
Policy. User-Zertifikate richten sich an Mitglie<strong>der</strong> <strong>der</strong> TH Karlsruhe und Fallen <strong>in</strong> den<br />
Zuständigkeitsbereich <strong>der</strong> UNIKA-U-CA. Dies ist die zweite Sub-Ca <strong>der</strong> UNIKA-CA.<br />
Um e<strong>in</strong> solches Zertifikat zu erhalten muss e<strong>in</strong> Zertifikats-Antragssteller über e<strong>in</strong>e auf<br />
uni-karlsruhe.de o<strong>der</strong> uka.de endende email-Adresse verfügen (n<strong>am</strong>e@rz.uni-karlsruhe.de,<br />
n<strong>am</strong>e@stud.uni-karlsruhe.de, ...). Dies hat er durch die Beantwortung e<strong>in</strong>er vom Adm<strong>in</strong>istator<br />
<strong>der</strong> UNIKA-U-CA <strong>in</strong>itialisierten Testnachricht nachzuweisen. Die Zertifizierung f<strong>in</strong>det<br />
ausschließlich mittels <strong>der</strong> <strong>am</strong> RZ e<strong>in</strong>gerichteten Onl<strong>in</strong>e-Schnittstelle statt (Abbildung 5).<br />
Sem<strong>in</strong>ar – <strong>IT</strong>-<strong>Management</strong> <strong>in</strong> <strong>der</strong> <strong>Praxis</strong>