Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
56 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
oder Nachweise wie der Studentenausweis den Status des Inhabers zu einem bestimmten Zeitpunkt<br />
wiedergeben.)<br />
Das UNI-Immatrikulationsbüro übermittelt schon jetzt jeweils zu Beginn des Semesters die zurückgemeldeten<br />
bzw. neu-immatrikulierten Studierenden an das Rechenzentrum, so daß die Benutzerbereiche<br />
ausgeschiedener Studenten gesperrt werden können. Anhand dieser Informationen wäre<br />
es zusätzlich möglich, noch nicht abgelaufene Medium-Level-Zertifikate zu sperren, falls der Betreffende<br />
seinen Status als Studierender verloren hat. (Wenn derjenige Mitarbeiter der Universität<br />
geworden sein sollte, kann er seinen Schlüssel neu zertifizieren lassen.) Auf diese Weise ist zwar<br />
noch keine hohe zeitliche Auflösung möglich, aber zu Beginn eines neuen Semesters wären dann<br />
nur noch die alten Zertifikate derjenigen Studierenden weiter gültig, die nach wie vor an der UNI<br />
eingeschrieben sind. Diese Sperrung ist auch deswegen erforderlich, weil der Benutzername einige<br />
Monate nach der Sperrung bzw. Löschung wieder neu vergeben werden kann. Im Extremfall würde<br />
dann ein Namensvetter des vorherigen Inhabers dieselbe Mailadresse innerhalb der UNI bekommen<br />
können wie dieser. Damit es dann nicht zu der unerwünschten Situation kommt, daß die UNI-CA<br />
womöglich für dieselbe Benutzerkennung in einem Schlüssel zwei unterschiedliche Schlüssel für<br />
zwei Personen zertifiziert hätte <strong>und</strong> beide Zertifikate gleichzeitig gültig wären, sollte mit der Sperrung<br />
bzw. Löschung eines Benutzerbereiches auch ein eventuell für die zugehörige Mailadresse<br />
ausgestelltes Zertifikat der UNI-Zertifizierungsstelle widerrufen werden.<br />
Ähnlich sieht der Ablauf bei den Benutzerbereichen der Universitätsmitarbeiter aus: Dort übermittelt<br />
die Personalstelle die Daten aller Mitarbeiter an das Rechenzentrum, so daß deren Benutzerbereiche<br />
verlängert (<strong>und</strong> die der ausgeschiedenen Mitarbeiter entsprechend gesperrt) werden können.<br />
4.8.9 Re-Zertifizierung<br />
Eine Re-Zertifizierung oder auch Nachzertifizierung ist nur für die Medium-Level-Zertifizierung<br />
vorgesehen. Nur dort sind die Sicherheitsprüfungen bei der Erst-Zertifizierung so gründlich, daß eine<br />
Re-Zertifizierung aufgr<strong>und</strong> eines digital signierten Antrages vertretbar erscheint. Außerdem soll<br />
für die Zertifikatnehmer ein Anreiz geschaffen werden, sich nach der Medium-Level Policy zertifizieren<br />
zu lassen. Die Möglichkeit, dort sein Zertifikat verlängern zu lassen <strong>und</strong> nicht jedes Semester<br />
wieder persönlich vorstellig werden zu müssen, dient diesem Ziel ebenso wie die gr<strong>und</strong>sätzlich<br />
längere Gültigkeitsdauer der Medium-Level Zertifikate.<br />
Die Re-Zertifizierung findet nur auf Antrag des Benutzers statt, wenn der Signierschlüssel, mit<br />
dem das Zertifikat für seinen Key unterschrieben wurde, abläuft. Bei einem Schlüsselwechsel auf<br />
Seiten des Benutzers steht es dem Betreffenden frei, eine Zertifizierung des neuen Schlüssels zu<br />
beantragen, indem er persönlich bei der CA vorstellig wird. Ein Zertifizierungsantrag für einen<br />
neuen Schlüssel kann nicht auf elektronischem Wege gestellt werden; auf diese Weise ist nur die<br />
Re-Zertifizierung eines bereits zertifizierten Schlüssels (also eine „Verlängerung“ von dessen Zertifikat)<br />
möglich. Es bleibt dem Nutzer überlassen, ob er nach Erhalt des Zertifikates für seinen neuen<br />
Schlüssel die Sperrung des alten Zertifikates veranlaßt (oder selbst einen Schlüssel-Widerruf generiert)<br />
oder ob sein alter <strong>und</strong> neuer Schlüssel beide weiter gültig sein sollen.<br />
Eine Re-Zertifizierung kann bei Bedarf zusätzlich auch davon abhängig gemacht werden, daß der<br />
Schlüsselinhaber weiterhin Universitätsangehöriger ist, also nicht inzwischen seinen Mitarbeiter-