Studieren in Chemnitz. Wissen, was gut ist.






  • Anmelden

Zertifizierungsstelle des Universitätsrechenzentrums der TU Chemnitz

Zertifizierungsrichtlinien für die Zertifizierungsstelle des Universitätsrechenzentrums der TU Chemnitz
(TUC/URZ-CA Policy)

  1. Einleitung
  2. Zuständigkeiten und Berechtigungen
  3. Rechtliche Bedeutung
  4. Struktur
  5. Sicherheitsanforderungen für den Betrieb der TUC/URZ-CA
  6. Ausstellen von Zertifikaten
  7. Widerruf von Zertifikaten
  8. Namenskonvention
  9. Gebühren

  1. Einleitung

    Dieses Dokument enthält die Zertifizierungsrichtlinien (nachfolgend Policy genannt) der Zertifizierungsstelle des Universitätsrechenzentrums der Technischen Universität Chemnitz (nachfolgend TUC/URZ-CA genannt).

    Ziel dieses Dokumentes ist es, organisatorische Regelungen zum Betrieb einer universitätseigenen Zertifizierungsstelle (nachfolgend CA [Certification Authority] genannt) festzulegen. Die Aussagen zur Nutzung und zum Betrieb dieser CA sind für alle Teilnehmer bindend. Sollte eine der Regelungen gesetzlichen Bestimmungen widersprechen, so ist die Passage entsprechend dem Sinn und Zweck dieser Policy durch den wissenschaftlichen Leiter des Rechenzentrums auszulegen.

    Folgende Adresse wird als Sitz der TUC/URZ-CA festgelegt:

    Technische Universität Chemnitz
    Universitätsrechenzentrum
    TUC/URZ-CA
    Straße der Nationen 62
    09111 Chemnitz

    Telefon

    +49-(0)371 531 1879
    Telefax: +49-(0)371 531 1629

    E-Mail

    ca@hrz.tu-chemnitz.de
    WWW: http://www.tu-chemnitz.de/urz/ca/

    Gültigkeit dieses Dokumentes: ab 08. Februar 2005
    Version dieses Dokumentes: 1.1

  2. Zuständigkeiten und Berechtigungen

    Die TUC/URZ-CA ist zuständig für die Fakultäten und zentralen Einrichtungen der Technischen Universität Chemnitz (nachfolgend Organisationseinheiten der Technischen Universität Chemnitz genannt). Die Universitätsverwaltung kann die Dienste der TUC/URZ-CA ebenfalls in Anspruch nehmen. Durch die angestrebte Zertifizierung oder Crosszertifizierung durch/mit der DFN-PCA und anderen CAs soll die Basis für die vertrauliche Kommunikation im Universitätsnetz, im WiN und im Internet allgemein geschaffen werden.

    Berechtigt zur Antragstellung sind alle Mitglieder der Technischen Universität Chemnitz und sonstige assoziierte Stellen. Über den Status einer assoziierten Stelle entscheidet der wissenschaftliche Leiter des Rechenzentrums der Technischen Universität Chemnitz.

    Diese Policy umfasst die Zertifizierung nach den Standards X.509v3 für SSL/TLS. Die TUC/URZ-CA stellt nur Zertifikate für Server aus, jedoch keine Zertifikate für Benutzer oder CA-Zertifikate.

  3. Rechtliche Bedeutung

    Eine Zertifizierung durch die TUC/URZ-CA ist keine Zertifizierung im Sinne des Signaturgesetzes. Die TUC/URZ-CA erhebt nicht den Anspruch, eine Zertifizierungsstelle im Sinne von § 2 Abs. 2 des Signaturgesetzes zu sein.

    Die TU Chemnitz sowie die Mitarbeiter der TUC/URZ-CA übernehmen keine Form der Gewährleistung. Durch die Zertifizierung durch die TUC/URZ-CA übernimmt diese keinerlei juristische Verantwortung für Rechtsgeschäfte Dritter. Alle Aufgaben werden von den Mitarbeitern der TUC/URZ-CA nach bestem Wissen und Gewissen durchgeführt. Es besteht für die Organisationseinheiten der Technischen Universität Chemnitz sowie für deren Mitglieder oder sonstige assoziierte Stellen kein Anspruch auf Zertifizierung durch die TUC/URZ-CA.

    Die Betreiber der TUC/URZ-CA übernehmen keine Gewährleistung für die Durchführung der gewünschten vertraulichen Kommunikation. Die Anwendung kryptografischer Verfahren für die Durchführung sicherer Kommunikation obliegt dem Benutzer.

  4. Struktur

    Die Zertifizierungsstruktur der TUC/URZ-CA besteht aus folgenden Ebenen:

    1. TUC/URZ-CA als Zertifizierungsstelle
    2. Administratoren (Mitarbeiter oder Studierende der Technischen Universität Chemnitz), die ein Zertifikat für einen Server benötigen, als Zertifikatnehmer.

    Der öffentliche Schlüssel der TUC/URZ-CA ist in einem - durch die TUC/URZ-CA selbstsignierten - Wurzelzertifikat enthalten. Dieses Wurzelzertifikat der TUC/URZ-CA wird auf den WWW-Seiten veröffentlicht. Die Wurzelzertifikate der TUC/URZ-CA werden bei Neuerstellung in den "URZ-Mitteilungen" veröffentlicht. Zur Verifizierung des Zertifikates nötige Daten (Fingerprints) werden in jeder Ausgabe der "URZ-Mitteilungen" abgedruckt. Diese Daten sind auch im URZ-Nutzerservice einsehbar.

    Für die Integration in bestehende CAs ist eine gegenseitige Zertifizierung (nachfolgend CC [cross certification] genannt) vorgesehen. Diese CC ist an die gegenseitige schriftliche Anerkennung der jeweiligen Policies zwingend gebunden.

  5. Sicherheitsanforderungen für den Betrieb der TUC/URZ-CA

    Für die Dienste der TUC/URZ-CA wird ein Rechner eingesetzt, der in geeigneter Weise vor missbräuchlicher Benutzung geschützt ist. Der unbefugte Zugriff auf den CA-Rechner und eventuell gespeicherte Schlüsseldaten wird durch den Einsatz geeigneter Hard- und Software unterbunden. Es wird ein Rechner ohne jeglichen Netzwerkanschluss eingesetzt. Dieser Rechner wird physikalisch geschützt aufbewahrt.

    Geheime Schlüssel der TUC/URZ-CA zum Erzeugen digitaler Signaturen werden vor Missbrauch durch Unbefugte geschützt und werden nicht weitergegeben. Die Verantwortung hierfür liegt bei den Mitarbeitern der CA, die daher angehalten sind, vom CA-Rechner getrennte Speichermedien zur Speicherung der geheimen Schlüssel einzusetzen, soweit dies technisch möglich ist. Der Zugriff auf diese geheimen CA-Schlüssel wird in jedem Fall durch Passworte geschützt, die nur den CA-Mitarbeitern bekannt sind. Die Passworte werden so aufbewahrt, dass sie nur Mitarbeitern der CA zugänglich sind.

    Mit dem geheimen Signatur-Schlüssel der TUC/URZ-CA werden ausschließlich Server-Schlüssel, Zertifikat-Widerrufe oder die Policy der TUC/URZ-CA unterschrieben. Der geheime Signatur-Schlüssel wird nicht für Kommunikationszwecke verwendet.

    Asymmetrische Schlüsselpaare der TUC/URZ-CA zur Erzeugung von Signaturen weisen eine Mindestlänge von 1024 Bits auf. Die Schlüssellänge wird bei Verfügbarkeit geeigneter Methoden erhöht.

    Sämtliche persönlichen Daten der Zertifikatnehmer, die den Mitarbeitern der TUC/URZ-CA bei der Zertifizierung über die Schlüssel- und Zertifikatdaten hinaus bekannt werden, werden von den Mitarbeitern vertraulich behandelt. Sie werden nicht veröffentlicht.

    Sicherheitsanforderungen an Zertifikatnehmer

    Das asymmetrische Schlüsselpaar für Server muss eine Schlüssellänge von mindestens 1024 Bit haben. Da der geheime Schlüssel üblichweise beim Starten eines Servers entsperrt wird, ist der Server-Rechner samt entsprechender Dateien durch geeignete Maßnahmen gegen missbräuchliche Benutzung zu schützen.

    Der geheime Schlüssel und das Zertifikat dürfen nur für den vorgesehenen Zweck eingesetzt und nicht weiter gegeben werden. Der Verlust des geheimen Schlüssels oder der Verdacht der Kompromittierung ist der TUC/URZ-CA unverzüglich bekannt zu geben.

  6. Ausstellen von Zertifikaten

    Der Administrator des zu zertifizierenden Servers übermittelt den Zertifizierungswunsch (CSR [Certificate Signing Request]) an die TUC/URZ-CA. Die TUC/URZ-CA erteilt Zertifikate, wenn die folgenden Bedingungen erfüllt sind:

    • Der zu zertifizierende öffentliche Schlüssel verfügt über die festgelegte Mindestlänge.
    • Der Zertifikats-Name entspricht dem in Kapitel 8 beschriebenen Schema und ist nicht bereits vergeben.
    • Die TUC/URZ-CA hat sich von der Identität des Zertifikatnehmers überzeugt. Dazu ist i.a. persönlicher Kontakt unter Vorlage eines Personalausweises, Reisepasses oder eines vergleichbaren Dokumentes erforderlich. Bei persönlich gut bekannten Personen genügt telefonischer Rückruf.
    • Die TUC/URZ-CA hat sich in geeigneter Weise von der Zugehörigkeit des Servers zur angegebenen Organisation und von der Identität der Organisation überzeugt.
    • Die TUC/URZ-CA hat den zur Signatur vorgelegten Schlüssel daraufhin überprüft, ob dieser nicht bereits einem anderen Server zugewiesen wurde. Dabei sind auch widerrufene Zertifikate zu betrachten.

    Jedes Zertifikat beinhaltet eine eindeutige Seriennummer, die von der TUC/URZ-CA vergeben wird. Die Gültigkeitsdauer des Zertifikates für SSL/TLS-Server beträgt maximal zwei Jahre. Das neu ausgestellte Zertifikat wird dem Zertifikatnehmer unmittelbar nach der Zertifizierung per E-Mail oder über eine URL übermittelt. Der Zertifikatnehmer ist angehalten, die Korrektheit des eigenen Zertifikates sowie der übergeordneten CA-Zertifikate zu verifizieren.

    Die TUC/URZ-CA stellt alle Zertifikate auf ihren WWW-Seiten zur Verfügung.

    Zertifikate werden in der Regel nicht automatisch erneuert. Anträge auf Re-Zertifizierung sind mindestens vier Wochen vor Ablauf des Zertifikates bei der TUC/URZ-CA zu stellen.

  7. Widerruf von Zertifikaten

    Die Betreiber der TUC/URZ-CA behalten sich vor, von ihr erteilte Zertifikate jederzeit vor Ablauf der Gültigkeit unter Angabe der Gründe zu widerrufen. Diese Gründe können sich durch Verstoß gegen die Policy der TUC/URZ-CA oder durch Bekanntwerden des Missbrauches der Zertifikate durch Zertifikatnehmer ergeben. Weitere Gründe für einen Zertifikatswiderruf sind Namensänderungen oder Ausgliederung einer Organisationseinheit der Technischen Universität Chemnitz.

    Jeder Zertifikatnehmer erklärt sich einverstanden, dass er Gründe, die zum Widerruf eines Zertifikates führen, unverzüglich der TUC/URZ-CA mitteilt.

    Einmal widerrufene Zertifikate können nicht reaktiviert werden. Es muss eine neues Zertifikat erstellt werden.

    Die TUC/URZ-CA stellt widerrufene Zertifikate in einer Widerrufsliste (CRL [Certification Revocation List]) auf ihrer WWW-Seite zur Verfügung. Diese Veröffentlichung soll verhindern, dass widerrufene Zertifikate irrtümlicherweise benutzt werden. Widerrufene Zertifikate werden nicht länger als bis zu ihrem ursprünglichen Gültigkeitsdatum auf der CRL veröffentlicht.

  8. Namenskonvention

    Für die Teilnahme an der TUC/URZ-CA ist ein eindeutiger Distinguished Name (nachfolgend DN genannt) nach X.500 zu wählen.

    Die Namensgebung der TUC/URZ-CA und den Servern folgt einem einheitlichen Standard und spiegelt die unmittelbare Zugehörigkeit zu einer Organisationseinheit oder assoziierten Stelle der Technischen Universität Chemnitz wider. Der DN der TUC/URZ-CA wird wie folgt festgelegt:

    C=DE, O=Technische Universitaet Chemnitz, OU=Universitaetsrechenzentrum,
    CN=TU Chemnitz Certification Authority - TUC/URZ-CA G[Nummer]/Email=ca@hrz.tu-chemnitz.de

    Der DN eines Server-Zertifikates muss folgender Konvention folgen:

    C=DE, O=Technische Universitaet Chemnitz , OU=[Subdomain o. Organisationseinheit],
    CN=[DNS-Name des Servers]/Email=[E-Mail-Adresse des Administrators]

    Die Wahl des Attributes OU folgt einem festgelegten Schema. Dies muss in Abstimmung mit der TUC/URZ-CA geschehen. Jeder DN muss innerhalb der TUC/URZ-CA eineindeutig sein.

  9. Gebühren

    Für die Dienstleistungen der TUC/URZ-CA werden keine Gebühren erhoben.




Vorname Name
Chemnitz , den ....