Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT

Weitere Magazine

Empfehlungen

Info

104 Kapitel 5. Praktische Umsetzung des CA-Konzeptes SCSI-Adapter, so daß auf diese Weise die Datensicherung einfacher durchgeführt werden könnte bzw. keine zusätzliche SCSI-Controller-Karte mehr benötigt würde. Von einigen Herstellern werden inzwischen besonders robuste, stoß- und spritzwasserunempfindliche Laptops angeboten (siehe Anhang B.2) – wenn also ein Gerät, das die übrigen Anforderungen erfüllt, zusätzlich auch noch besonders stabil ist, so daß es den harten Einsatz an einem von Menschen umlagerten CA-Stand und den Transport zwischen Veranstaltungsort und Rechenzentrum sowie im Rechenzentrum selbst besser überstehen kann, wäre das ein zusätzlicher Pluspunkt. Zuzusichernde Eigenschaften Beim Kauf sollte der Verkäufer die Linux-Tauglichkeit des Laptops und des Zubehörs schriftlich garantieren oder ein Rückgaberecht für den Fall der Nicht-Tauglichkeit einräumen. 5.2.2 Beschaffung der Software Das Betriebssystem wird auf einer CD-ROM oder ZIP-Disk als Installationsmedium benötigt. Da der CA-Rechner nicht (auch nicht bei der Erst-Installation) vernetzt betrieben werden darf, müssen alle erforderlichen Programme und Daten per Wechselmedium oder CD-ROM auf den Laptop gebracht werden. 4 Es wird also bei der Installation zusätzlich ein zweiter Rechner mit Internet-Zugang und ZIP-Laufwerk (LS-120-/HiFD-Laufwerk) benötigt, sofern nicht alle benötigte Software bereits auf CD-ROM(s) vorliegt. Dieser Rechner muß ZIP-Medien in dem Dateisystem-Format beschreiben können, das der CA-Rechner bzw. dessen Betriebssystem lesen kann. Es werden zusätzlich mindestens folgende Programme benötigt (die eventuell nicht auf der Installations-CD-ROM oder darauf nicht in der betreffenden Version enthalten sind): Tripwire zur Integritätskontrolle für den CA-Rechner PGP PGP2.6.3in für die PGP-Zertifizierung OpenSSL für die Ausstellung von X.509-Zertifikaten (Nachfolger von SSLeay, siehe Teil II dieses Handbuches) Bezugsquellen für alle drei Pakete finden sich im Anhang B.1. Alle drei Programme sind von ihren Autoren PGP-signiert worden (bei Tripwire versteckt sich die PGP-Signatur in dem .tar-Archiv). Auf dem vernetzten Rechner sollte als erstes geprüft werden, ob diese Signaturen sich verifizieren lassen, d.h. ob die Software-Archive in unverfälschter Form vorliegen. Dies geschieht durch Aufruf von ‘pgp FILENAME.asc’. (Diese Prüfung ist sinnvoll nur möglich, wenn der öffentliche Schlüssel des jeweiligen Autors bereits in authentischer Form vorliegt.) 4 Das mag im ersten Moment sehr streng erscheinen, dient aber letztlich dazu, eine genau definierte, reproduzierbare Software-Umgebung auf dem CA-Rechner zu schaffen. Bei einer Installation über eine Netzwerkverbindung könnte man nie sicher sein, was letztlich genau an Daten auf den CA-Rechner gelangt.
5.2. Vorgehen bei Einrichtung der CA (“build”) 105 5.2.3 Hardware-Vorbereitungen Viele aktuelle Laptop-Rechner verfügen heute über eine Infrarot-Schnittstelle. Da der CA-Rechner nicht auf diesem Weg vernetzt werden soll und mittels dieses Kanals nicht angreifbar sein darf, ist die IR-Schnittstelle lichtundurchlässig, aber reversibel abzukleben (reversibel für den Fall, daß der Rechner später einmal für andere Zwecke genutzt werden soll). Die Empfehlungen z.B. des Berliner Datenschutzbeauftragten zum Einsatz von Laptops [DSB92] sollten ebenfalls, soweit sinnvoll anwendbar, berücksichtigt werden, gleiches gilt für die entsprechenden bzw. in 4.7 genannten Bausteine des BSI-Grundschutzhandbuches. Insbesondere sollte das BIOS-Paßwort gesetzt werden ein eventuell vorhandener BIOS-Schutz von Master- und System-Bootsektor aktiviert werden (so verfügbar) ein Screen-Locker aktiviert werden (wenn vom BIOS unterstützt) der Bootvorgang bzw. Single-user-Boot Paßwort-geschützt werden das Booten vom Floppy-Laufwerk sollte abgeschaltet werden (ggf. auch erst direkt nach der Installation, falls nicht von CD-ROM gebootet werden kann und eine Boot-Disk den Installationsvorgang starten muß) 5.2.4 Installation des Betriebssystems Bei der Installation von Linux wird eine Partitionierung der Festplatte erforderlich, dabei muß eingeplant werden, daß Keyserver-Datenbank-Dateien mit mehr als 2 GB Größe auftreten können. Netzwerkunterstützung muß deaktiviert werden (NFS ggf. aktiviert lassen, falls mit TCFS gearbeitet werden soll – siehe 5.1.2), Treiber für Netzwerkkarten und Infrarot-Schnittstelle sind ganz zu entfernen bzw. gar nicht erst einzubinden. Es sollte mit einem „minimalen System“ gearbeitet werden. (Es werden allerdings die Entwickler-Tools wie gcc usw. benötigt, da die CA-Software – pgp, openssl – im Quellcode vorliegt und erst auf dem CA-Rechner übersetzt werden muß. Diese Übersetzung darf auf keinem anderen Rechner vorgenommen werden.) Die erforderlichen Treiber für ZIP-Laufwerk, CD-ROM, SCSI-Adapter, Bandlaufwerke (Datensicherung) dürfen nicht vergessen werden und sind mitzuinstallieren, darüber hinaus auch eventuell existierende Jahr-2000-Patches. Der Rechner sollte so konfiguriert werden, daß nach dem Hochfahren deutlich zu erkennen ist, ob die Festplatte der Low-Level- oder die der Medium-Level UNI-CA eingebaut ist, der Rechner also gerade der Low-Level- oder der Medium-Level-Zertifizierungsrechner ist. 5.2.5 Tests vor der Inbetriebnahme Vor der richtigen Inbetriebnahme des Zertifizierungsrechners sind Datensicherungs-Tests durchführen:
Seite 1:
DFN-PCA Handbuch Aufbau und Betrieb
Seite 5 und 6:
Vorwort Ziel des Projektes „PCA i
Seite 7 und 8:
Vorwort vii Teil III erläutert, wi
Seite 9:
Vorwort ix WICHTIGER HINWEIS DIESES
Seite 12 und 13:
xii INHALTSVERZEICHNIS 4 Konzept f
Seite 14 und 15:
xiv INHALTSVERZEICHNIS 5.2.7 Instal
Seite 16 und 17:
xvi INHALTSVERZEICHNIS 15 Betrieb d
Seite 19:
Abbildungsverzeichnis 3.1 Struktur
Seite 23 und 24:
Kapitel 1 Motivation Aufgabe der
Seite 25 und 26:
in der RIPE 2 -Datenbank, über die
Seite 27 und 28:
Kapitel 2 Theoretische Grundlagen D
Seite 29 und 30:
2.2. Digitale Signaturen 9 dem Priv
Seite 31 und 32:
2.3. Zertifizierungsstellen 11 “T
Seite 33 und 34:
2.5. Widerrufslisten 13 Algorithmus
Seite 35 und 36:
2.6. Zertifizierungsrichtlinien (
Seite 37 und 38:
Kapitel 3 Public-Key-Zertifizierung
Seite 39 und 40:
3.1. Gebräuchliche Zertifikat-Form
Seite 41 und 42:
3.2. Zertifizierungsstellen-Softwar
Seite 43 und 44:
3.3. Zertifizierungsstellen in Deut
Seite 45 und 46:
3.4. Forschungs- und Pilotprojekte
Seite 47 und 48:
3.4. Forschungs- und Pilotprojekte
Seite 49 und 50:
3.5. Rechtlicher Rahmen 29 3.5 Rech
Seite 51 und 52:
3.5. Rechtlicher Rahmen 31 3.5.2 Ve
Seite 53 und 54:
3.5. Rechtlicher Rahmen 33 Punkten
Seite 55 und 56:
Kapitel 4 Konzept für eine Zertifi
Seite 57 und 58:
4.2. Outsourcen oder Do-it-yourself
Seite 59 und 60:
4.4. Begründung für den vorgeschl
Seite 61 und 62:
4.6. Medium-Level CA 41 wecken und
Seite 63 und 64:
4.7. Sicherheitsbedrohungen für di
Seite 65 und 66:
4.7. Sicherheitsbedrohungen für di
Seite 67 und 68:
4.8. Die Zertifizierungsrichtlinien
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74: 4.8. Die Zertifizierungsrichtlinien
Seite 81 und 82: 4.10. Erstellung einer X.509-UNI-CA
Seite 83 und 84: 4.12. Arbeitsorganisation 63 Allerd
Seite 85 und 86: 4.12. Arbeitsorganisation 65 der Si
Seite 87 und 88: 4.14. Dokumentation 67 4.14.2 Liste
Seite 89 und 90: 4.15. Software-Pflege (FTP-Server)
Seite 91 und 92: 4.16. Außendarstellung der CA 71 h
Seite 93 und 94: 4.16. Außendarstellung der CA 73 D
Seite 99 und 100: 4.16. Außendarstellung der CA 79 o
Seite 101 und 102: 4.18. Kooperationsmöglichkeiten 81
Seite 103 und 104: 4.19. Rechtliche Aspekte des CA-Bet
Seite 111 und 112: 4.20. Entwicklungsperspektiven 91 b
Seite 113 und 114: 4.20. Entwicklungsperspektiven 93 4
Seite 115 und 116: 4.20. Entwicklungsperspektiven 95 4
Seite 117 und 118: 4.20. Entwicklungsperspektiven 97 G
Seite 119 und 120: Kapitel 5 Praktische Umsetzung des
Seite 121 und 122: 5.2. Vorgehen bei Einrichtung der C
Seite 123: 5.2. Vorgehen bei Einrichtung der C
Seite 131 und 132: 5.3. PR-Anlässe 111 5.2.14 Zertifi
Seite 133 und 134: 5.4. Betrieb der CA (“run”) 113
Seite 143 und 144: 5.5. Stolpersteine 123 Es können P
Seite 145 und 146: Kapitel 6 Ausblick The challenge is
Seite 147 und 148: 6.1. Absehbare technische Entwicklu
Seite 149 und 150: 6.2. Erweiterung des Aufgabenfeldes
Seite 151: Teil II Zertifizierung mit OpenSSL
Seite 154 und 155: 134 Kapitel 7. OpenSSL-0.9.5 7.2 In
Seite 156 und 157: 136 Kapitel 7. OpenSSL-0.9.5 Nach d
Seite 158 und 159: 138 Kapitel 7. OpenSSL-0.9.5 Wer et
Seite 160 und 161: 140 Kapitel 7. OpenSSL-0.9.5
Seite 162 und 163: 142 Kapitel 8. Unterstützte Zertif
Seite 172 und 173: 152 Kapitel 9. Die OpenSSL-Konfigur
Seite 174 und 175:
154 Kapitel 9. Die OpenSSL-Konfigur
Seite 176 und 177:
156 Kapitel 10. Erzeugen von Reques
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
162 Kapitel 11. Certificate Revocat
Seite 184 und 185:
164 Kapitel 11. Certificate Revocat
Seite 186 und 187:
166 Kapitel 12. Testbericht: Praxis
Seite 188 und 189:
Seite 190 und 191:
Seite 192 und 193:
Seite 194 und 195:
Seite 196 und 197:
176 Kapitel 13. Ergänzende Program
Seite 198 und 199:
178 Kapitel 13. Ergänzende Program
Seite 201 und 202:
Kapitel 14 Installation der Softwar
Seite 203 und 204:
14.3. Das Paket mm-1.0.12.tar.gz 18
Seite 205 und 206:
14.4. Das Paket openssl-0.9.4.tar.g
Seite 207 und 208:
14.6. Das Paket apache_1.3.9 187 gz
Seite 209 und 210:
14.6. Das Paket apache_1.3.9 189 be
Seite 211 und 212:
14.6. Das Paket apache_1.3.9 191 Di
Seite 213 und 214:
14.7. Übersetzung von neuen Mod-SS
Seite 215 und 216:
Kapitel 15 Betrieb des SSL-Apache B
Seite 217 und 218:
15.2. Erzeugen eines Server-Zertifi
Seite 219 und 220:
15.3. Prüfung von Client-Zertifika
Seite 221 und 222:
15.4. Widerrufslisten (CRLs) 201 Da
Seite 223 und 224:
15.5. Starten und Stoppen des Apach
Seite 225:
Anhang 205
Seite 228 und 229:
208 Anhang A. Empfehlenswerte Lekt
Seite 230 und 231:
210 Anhang A. Empfehlenswerte Lekt
Seite 232 und 233:
212 Anhang B. Bezugsquellen Netscap
Seite 234 und 235:
214 Anhang B. Bezugsquellen Preis:
Seite 236 und 237:
216 Anhang B. Bezugsquellen
Seite 238 und 239:
218 Anhang C. PGP-Beispielkonfigura
Seite 240 und 241:
Seite 242 und 243:
Seite 244 und 245:
224 Anhang D. Undokumentierte PGP-O
Seite 246 und 247:
226 Anhang E. openssl.cnf - Beispie
Seite 248 und 249:
Seite 250 und 251:
Seite 252 und 253:
Seite 254 und 255:
234 Anhang F. Aufrufparameter und O
Seite 256 und 257:
Seite 258 und 259:
Seite 260 und 261:
Seite 262 und 263:
Seite 264 und 265:
Seite 266 und 267:
246 Anhang G. httpd.conf - Beispiel
Seite 268 und 269:
Seite 270 und 271:
Seite 272 und 273:
Seite 274 und 275:
Seite 276 und 277:
Seite 278 und 279:
258 Anhang H. Zertifikat-Analyse-To
Seite 280 und 281:
Seite 282 und 283:
Seite 284 und 285:
Seite 286 und 287:
Seite 288 und 289:
268 Anhang I. Hürden bei der Zerti
Seite 290 und 291:
270 Anhang I. Hürden bei der Zerti
Seite 292 und 293:
272 Anhang J. Aufwandsabschätzung
Seite 294 und 295:
Seite 296 und 297:
Seite 298 und 299:
278 Anhang K. Low-Level-Policy (Mus
Seite 300 und 301:
Seite 302 und 303:
Seite 304 und 305:
Seite 306 und 307:
Seite 308 und 309:
288 Anhang L. Standard-CA-Mails hä
Seite 310 und 311:
290 Anhang L. Standard-CA-Mails bes
Seite 312 und 313:
292 Anhang L. Standard-CA-Mails Du
Seite 314 und 315:
294 Anhang L. Standard-CA-Mails
Seite 316 und 317:
296 Anhang M. Kontaktinformationen
Seite 318 und 319:
298 Anhang M. Kontaktinformationen
Seite 320 und 321:
300 Anhang M. Abkürzungsverzeichni
Seite 322 und 323:
Seite 324 und 325:
Seite 326 und 327:
306 LITERATURVERZEICHNIS [ASZ96] AT
Seite 328 und 329:
308 LITERATURVERZEICHNIS [Con99] CO
Seite 330 und 331:
310 LITERATURVERZEICHNIS [EU99] RIC
Seite 332 und 333:
312 LITERATURVERZEICHNIS [HJJS98] H
Seite 334 und 335:
314 LITERATURVERZEICHNIS [Lan98] LA
Seite 336 und 337:
316 LITERATURVERZEICHNIS [Rec98] RE
Seite 338 und 339:
318 LITERATURVERZEICHNIS [SU97] SCH
Seite 340 und 341:
320 LITERATURVERZEICHNIS
Seite 342 und 343:
322 Anhang M. Informationen zur DFN
Alle anzeigen

Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?