Informationen für Zertifikatinhaber in der DFN-PKI
Informationen für Zertifikatinhaber in der DFN-PKI
Informationen für Zertifikatinhaber in der DFN-PKI
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Informationen</strong> <strong>für</strong> <strong>Zertifikat<strong>in</strong>haber</strong> <strong>in</strong> <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> v1.1 03.07.2013<br />
<strong>Informationen</strong> <strong>für</strong> <strong>Zertifikat<strong>in</strong>haber</strong><br />
<strong>in</strong> <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong><br />
im Sicherheitsniveau Global<br />
1 E<strong>in</strong>leitung und H<strong>in</strong>tergrund<br />
Dieses Dokument richtet sich an Personen, die e<strong>in</strong> Zertifikat <strong>in</strong> <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> im Sicherheitsniveau<br />
Global beantragt und erhalten haben.<br />
<strong>Informationen</strong> zur <strong>DFN</strong>-<strong>PKI</strong> f<strong>in</strong>den Sie unter https://www.pki.dfn.de.<br />
In den folgenden Abschnitten wird beschrieben, welche Regelungen und Pflichten Sie als Inhaber<br />
e<strong>in</strong>es Zertifikats <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> - im folgenden <strong>Zertifikat<strong>in</strong>haber</strong> - e<strong>in</strong>halten müssen. Diese Regelungen<br />
und Pflichten ergeben sich aus <strong>der</strong> Zertifizierungsrichtl<strong>in</strong>ie (CP) und <strong>der</strong> Erklärung<br />
zum Zertifizierungsbetrieb (CPS) <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong>, die Sie unter https://www.pki.dfn.de/policies e<strong>in</strong>sehen<br />
können.<br />
2 Beantragung und Annahme<br />
Sie s<strong>in</strong>d verpflichtet, bei <strong>der</strong> Beantragung von Zertifikaten <strong>in</strong> <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> korrekte Daten anzugeben.<br />
Als <strong>Zertifikat<strong>in</strong>haber</strong> s<strong>in</strong>d Sie verpflichtet, <strong>in</strong>nerhalb von 14 Tagen nach Erhalt e<strong>in</strong>es Zertifikats<br />
die Korrektheit <strong>der</strong> enthaltenen Daten zu überprüfen. S<strong>in</strong>d die enthaltenen Daten nicht korrekt,<br />
müssen Sie das Zertifikat wie<strong>der</strong> sperren lassen.<br />
3 Nutzung von Zertifikaten <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong><br />
Sie dürfen Zertifikate <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> nur unter Berücksichtigung <strong>der</strong> CP (Zertifizierungsrichtl<strong>in</strong>ie<br />
<strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong>) und damit auch <strong>der</strong> Satzung des <strong>DFN</strong>-Vere<strong>in</strong>s verwenden. Insbeson<strong>der</strong>e ist zu beachten,<br />
dass e<strong>in</strong> Zertifikat <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> nicht <strong>für</strong> kommerzielle Zwecke verwendet werden darf.<br />
[CP 1.4 und 1.3.3]<br />
Die <strong>DFN</strong>-PCA hat das Recht, Ihr Zertifikat unverzüglich zu sperren, wenn Sie gegen die hier aufgeführten<br />
Regelungen und Pflichten verstoßen o<strong>der</strong> wenn Ihr Zertifikat <strong>für</strong> illegale Aktivitäten<br />
wie Phish<strong>in</strong>g, Betrug o<strong>der</strong> die Verbreitung von Malware genutzt wird.<br />
4 Verpflichtung zur Sperrung<br />
Als <strong>Zertifikat<strong>in</strong>haber</strong> s<strong>in</strong>d Sie unter den folgenden Bed<strong>in</strong>gungen verpflichtet, Ihr Zertifikat sperren<br />
zu lassen:<br />
• Das Zertifikat enthält Angaben, die nicht mehr gültig s<strong>in</strong>d, beispielsweise nach e<strong>in</strong>er Namensän<strong>der</strong>ung.<br />
• Der private Schlüssel o<strong>der</strong> das dazugehörige Passwort/PIN wurde verloren, gestohlen,<br />
offen gelegt o<strong>der</strong> an<strong>der</strong>weitig kompromittiert bzw. missbraucht.<br />
• Sie s<strong>in</strong>d nicht mehr berechtigt, das Zertifikat zu nutzen.<br />
Für Sperrungen nutzen Sie bitte die Web-Schnittstelle, unter <strong>der</strong> Sie auch den Zertifikatantrag<br />
gestellt haben, o<strong>der</strong> wenden Sie sich an den Teilnehmerservice Ihrer E<strong>in</strong>richtung. Zusätzliche<br />
Kontakt<strong>in</strong>formationen s<strong>in</strong>d unter https://www.pki.dfn.de/policies/<strong>in</strong>formationen veröffentlicht.<br />
E<strong>in</strong> Zertifikat kann auch durch an<strong>der</strong>e Personen außer Ihnen gesperrt werden, z. B. durch den<br />
Teilnehmerservice Ihrer E<strong>in</strong>richtung o<strong>der</strong> die <strong>DFN</strong>-PCA.<br />
Wurde Ihr Zertifikat gesperrt, so dürfen Sie dieses nicht weiter <strong>für</strong> Zwecke <strong>der</strong> Authentifizierung<br />
und Signatur verwenden. Die Verwendung zur Entschlüsselung von bereits verschlüsselten Daten<br />
ist hiervon nicht betroffen.<br />
1/2
<strong>Informationen</strong> <strong>für</strong> <strong>Zertifikat<strong>in</strong>haber</strong> <strong>in</strong> <strong>der</strong> <strong>DFN</strong>-<strong>PKI</strong> v1.1 03.07.2013<br />
5 Zertifikate <strong>für</strong> natürliche Personen (Nutzerzertifikate)<br />
Wenn Sie e<strong>in</strong> Nutzerzertifikat e<strong>in</strong>setzen, müssen Sie die folgenden Bed<strong>in</strong>gungen e<strong>in</strong>halten:<br />
• Der private Schlüssel zu dem Zertifikat darf nur Ihnen zugänglich se<strong>in</strong>. E<strong>in</strong>e Weitergabe<br />
ist nicht erlaubt.<br />
• Jedes Gerät, auf dem Sie den privaten Schlüssel speichern bzw. e<strong>in</strong>setzen, muss angemessen<br />
geschützt se<strong>in</strong>, also z. B. frei von Schadsoftware wie Viren se<strong>in</strong> und regelmäßig<br />
mit Sicherheits-Patches versehen werden.<br />
• Wenn Sie den privaten Schlüssel nicht auf e<strong>in</strong>em Crypto-Token o<strong>der</strong> e<strong>in</strong>er Smartcard<br />
speichern, also z. B. im Zertifikatsspeicher Ihres Betriebssystems, Ihres Browsers o<strong>der</strong><br />
als Datei, so müssen Sie den privaten Schlüssel immer mit e<strong>in</strong>er Passphrase schützen.<br />
Der private Schlüssel darf nicht unverschlüsselt und nicht ungeschützt vorliegen. Insbeson<strong>der</strong>e<br />
muss bei E<strong>in</strong>satz von Mozilla-Produkten e<strong>in</strong> „Master-Passwort“ gesetzt werden.<br />
• Wenn Sie den privaten Schlüssel auf e<strong>in</strong>em Crypto-Token bzw. e<strong>in</strong>er Smartcard e<strong>in</strong>setzen,<br />
so muss das Token o<strong>der</strong> die Smartcard mit e<strong>in</strong>er Passphrase/PIN geschützt se<strong>in</strong>.<br />
• Die Passphrase/PIN darf nur Ihnen bekannt se<strong>in</strong> und muss m<strong>in</strong>destens 8 Zeichen lang<br />
se<strong>in</strong>.<br />
6 Zertifikate <strong>für</strong> Datenverarbeitungssysteme (Server-Zertifikate)<br />
Für Server-Zertifikate müssen folgende Bed<strong>in</strong>gungen e<strong>in</strong>gehalten werden:<br />
• Das Zertifikat darf nur auf Datenverarbeitungssystemen <strong>in</strong>stalliert werden, die unter den im<br />
Zertifikat enthaltenen Namen erreichbar s<strong>in</strong>d.<br />
• Der private Schlüssel darf nur Adm<strong>in</strong>istratoren <strong>der</strong> im Zertifikat genannten Server zugänglich<br />
se<strong>in</strong>.<br />
• Je<strong>der</strong> Server, auf dem <strong>der</strong> private Schlüssel vorgehalten wird, muss angemessen geschützt<br />
werden. Das heißt z. B.:<br />
• Der Server bef<strong>in</strong>det sich <strong>in</strong> e<strong>in</strong>er gesicherten Infrastruktur, z. B. h<strong>in</strong>ter e<strong>in</strong>er geeignet<br />
konfigurierten Firewall.<br />
• Der Server wird professionell betrieben, u. a. durch regelmäßiges E<strong>in</strong>spielen von Sicherheits-Patches.<br />
• Der adm<strong>in</strong>istrative Zugriff auf den Server und somit auf den privaten Schlüssel ist klar<br />
geregelt.<br />
7 Zertifikate <strong>für</strong> Personengruppen (Gruppenzertifikate)<br />
Wenn Sie e<strong>in</strong> Gruppenzertifikat e<strong>in</strong>setzen, muss dieses Dokument „<strong>Informationen</strong> <strong>für</strong> <strong>Zertifikat<strong>in</strong>haber</strong>“<br />
allen Gruppenmitglie<strong>der</strong>n bekannt gemacht werden.<br />
Der private Schlüssel darf nur <strong>für</strong> Mitglie<strong>der</strong> <strong>der</strong> im Zertifikat benannten Personengruppe nutzbar<br />
se<strong>in</strong>.<br />
Scheidet e<strong>in</strong> Mitglied aus <strong>der</strong> Personengruppe aus, so muss das Zertifikat gesperrt werden. E<strong>in</strong>zige<br />
mögliche Ausnahme: Hat das ausscheidende Mitglied den privaten Schlüssel ausschließlich<br />
auf e<strong>in</strong>em Crypto-Token o<strong>der</strong> e<strong>in</strong>er Smartcard mit nicht auslesbaren privaten Schlüsseln erhalten,<br />
die das Gruppenmitglied mit se<strong>in</strong>em Ausscheiden zurückgibt, so kann das Zertifikat weiter<br />
verwendet werden und braucht nicht gesperrt werden.<br />
Darüber h<strong>in</strong>aus gelten die Regelungen <strong>für</strong> persönliche Zertifikate (siehe Abschnitt 5) entsprechend<br />
<strong>für</strong> alle Gruppenmitglie<strong>der</strong>.<br />
2/2