Derzeit keine.

Betrieb interner/lokaler CAs

Neben der selbstverständlichen Nutzung von Zertifikaten mit Browser- und Betriebssystemverankerung aus GÉANT TCS oder der DFN-PKI "Global" hat auch der Einsatz von Zertifikaten mit selbst-definierten Wurzelzertifikaten seine Berechtigung.

Vorteile von Zertifikaten unter selbst-definierten Wurzelzertifikaten:

  • Laufzeit kann länger gewählt werden
  • Geringeres Betriebsrisiko, da keine Zertifikatsperrungen aufgrund externer Zwänge vorkommen können
  • Prozesse können selbst definiert werden.
  • Potentiell können auch Zertifikate für interne Namen ("*.local") ausgestellt werden.

Allerdings muss auf jedem System, dass ein derartiges Zertifikat prüfen soll, das Wurzelzertifikat installiert werden. Daher muss vorab geplant werden, in welchen Einsatzszenarien lokale oder interne CAs sinnvoll eingesetzt werden können. Beispiele für solche Szenarien sind:

  • Zertifikate für die SAML-Kommunikation in der AAI:
    https://doku.tid.dfn.de/de:certificates#eigene_lokale_ca
  • Authentisierung zwischen internen Systemen ohne Außenkontakt, z.B. Datenbanksysteme, 802.1x für internen Netzzugang am LAN.
  • Zertifikate für die Absicherung von interner VoIP-Kommunikation

Eine lokale oder interne CA kann beispielsweise in einem Active Directory aufgebaut oder als Bestandteil von Konfigurationsmanagementsystemen umgesetzt werden.

Die DFN-PCA kann auf Wunsch den technischen Betrieb von einrichtungsspezifischen internen CAs übernehmen, die dann mit den bekannten Werkzeugen und dem SOAP-API zur Ausstellung von Zertifkaten ohne Browser-Verankerung genutzt werden können. Die Prozesse und weitere Parameter wie die Laufzeit von Zertifikaten können dabei frei gewählt werden.

Wenn Sie Fragen zu lokalen oder internen CAs haben, schicken Sie bitte eine E-Mail an pki@dfn.de.

     aktualisiert am: 23.08.2021 |