Neues aus der DFN-PKI

Jürgen Brauckmanndfnpca@dfn-cert.de

47. Betriebstagung des DFN-Vereins Folie 2

Sicherheitsniveau „Global“

Sicherheitsniveau „Global“Seit Anfang 2007Neue Version der Policy, längere Laufzeiten

für ZertifikateVerkettung mit „Deutsche Telekom Root CA 2“

Umstellung fastabgeschlossen

Über 160 Einrichtungennutzen DFN-PKI

47. Betriebstagung des DFN-Vereins Folie 3

Anpassungen: Logo

Vorher:

Nachher:

47. Betriebstagung des DFN-Vereins Folie 4

Anpassungen: E-Mailadressen

Auf Anforderung können die eingegebenenE-Mailadressen beschränkt werden:

47. Betriebstagung des DFN-Vereins Folie 5

DFN-PKI FAQ

FAQ-Seiten erweitert:http://www.pki.dfn.de/faqpki

47. Betriebstagung des DFN-Vereins Folie 6

Software und Zertifikate...

Cisco: VPN Concentrator 3030 erzeugt keine 2048 Bit Schlüssel (nur 2047 Bit...)

Alte Netscape und Novell: Werten pathLenConstraints nicht richtig aus...

Opera: Mehrstufige Hierarchie und Zert.-Import...

47. Betriebstagung des DFN-Vereins Folie 7

Hinweise für RAs

Zertifikatnamen (DNs)müssen für Server den FQDN enthalten

(insbesondere keine IP, kein Wildcard, keinen abgekürzten Namen)

müssen für Nutzer den richtigen Namender Person enthalten(Vor- und Nachname; Titel nur, wenn im Ausweis vermerkt)

müssen für Gruppen einen Vorsatz „GRP:“ enthalten(z.B. „CN=GRP: Netzgruppe“)

47. Betriebstagung des DFN-Vereins Folie 8

Ausblick

Zeitstempeldienst fürvertrauenswürdigenZeitangaben in Dokumenten

Direkte Unterstützung inAdobe Acrobat

Testbetrieb läuft Bei Interesse:

pki@dfn.de

47. Betriebstagung des DFN-Vereins Folie 9

SOAP-Schnittstelleder DFN-PKI

47. Betriebstagung des DFN-Vereins Folie 10

SOAP-Schnittstelle der DFN-PKI

DFN-PKI

HTML

Browser

Nutzer RA

Nutzer stellen Anträge über Webschnittstelle

Schlüssel und Anträge werden im Browser generiert

RA muss jeden Antrag einzeln prüfen und genehmigen

Für große Nutzerzahl nicht praktikabel

Bisher:

47. Betriebstagung des DFN-Vereins Folie 11

SOAP-Schnittstelle der DFN-PKI

DFN-PKI

HTML

Browser

SOAP

soapclient

Eigen-entwicklung

Nutzer RA Software Nutzer

Eigen-entwicklung

Zertifizierung kann unter bestimmten Voraussetzungen durch Software erfolgen

Kommunikation direkt oder über soapclient Bibliothek

Webschnittstelle kann parallel weiterbetrieben werden

Neu:

47. Betriebstagung des DFN-Vereins Folie 12

SOAP-Schnittstelle eignet sich für:

Große Anzahl von Nutzern (Studenten, Mitarbeiter etc.)

Chipkarten / USB-Token Initialisierung

Zertifizierung aus lokalen Datenquellen (Verzeichnisdienste)

Lösungen mit lokalem Key-Backupbei der Zertifizierung

47. Betriebstagung des DFN-Vereins Folie 13

Web vs. SOAP-Schnittstelle

Webschnittstelle

Benutzer stellt AntragRA ruft Antrag aufRA signiert und genehmigt Antrag

Benutzer/RA wartet

auf Ausstellung

SOAPnewRequestgetRawRequestapproveRequest

getCertificateByRequestSerial

SOAP-Aufrufe entsprechen den Aktionen in der Webschnittstelle:

47. Betriebstagung des DFN-Vereins Folie 14

soapclient Bibliothek

Schlanke Bibliothek zum Einbindenin eigene Java-Anwendungen

SOAP-Kommunikation synchron asynchron (für grafische Oberflächen)

Kryptografische Operationen PKCS#10-Antrag erstellen PKCS#7

Vertrauenseinstellungen zu den Servernder DFN-PKI bereits integriert

Code-Beispiele enthalten

47. Betriebstagung des DFN-Vereins Folie 15

soapclient Beispiel// Neuen Client erstellenDFNPKIClient client = new DFNPKIClient(„ca­name“);// Neues RSA­Schlüsselpaar erzeugenKeyPairGenerator generator = KeyPairGenerator(„RSA“);generator.initialize(2048);KeyPair pair = generator.generateKeyPair();

// Neuen PKCS#10­Antrag erzeugenString pkcs10 = Cryptography.createPKCS10(„C=DE,O=DFN­CERT,CN=Jan Moennich“,                                          pair.getPublic(),                                          pair.getPrivate());DFNPKIPublic pub = client.getPublic();String pin_hashed = Cryptography.sha1(pin.getBytes());String altNames[] = new String[] {„email:moennich@dfn­cert.de“};

// Zertifikatantrag bei der CA einreichenint serial = pub.newRequest(0,                     // RA Nummer                            pkcs10,                   // PKCS#10­Antrag                            altNames,                 // Subject Alt. Names                            „User“,                   // Rolle                            pin_hashed,               // Sperr­PIN                            „Jan Moennich“,           // Name der Person                            „moennich@dfn­cert.de“,   // E­Mail der Person                            „DFN­PCA“,                // Abteilung                            true);                    // Veröffentlichen

47. Betriebstagung des DFN-Vereins Folie 16

soapclient Beispiel// Neuen Client erstellenclient.loadRAFormPKCS12(“/certs/ra.p12“, password.toCharArray());// Instanz mit RA­MethodenDFNCERTRegistration ra = client.getRegistration();// Antragsdaten zum Signieren ermittelnbyte raw[] = ra.getRawRequest(serial);// Antragsdaten mit RA Operator Zertifikat signierenString pkcs7 = Cryptography.createPKCS7Signed(raw,                                              client.getRAPrivateKey(),                                              client.getRACertificate());

// Antrag bei der CA mit Signatur genehmigenboolean ok = ra.approveRequest(serial, raw, pkcs7);// Alle 30 Sekunden nach dem ausgestellten Zertifikat fragenString pem = ““;while(pem.equals(““)) {  Thread.sleep(30000);  pem = ra.getCertificateByRequestSerial(serial);}

47. Betriebstagung des DFN-Vereins Folie 17

Zusammenfassung SOAP

Schnittstelle für Anbindung eigener Infrastruktur an die DFN-PKI

Für: große Nutzerzahlen Token-Initialisierung Einbindung lokaler Verzeichnisdienste lokales Key-Backup uvm.

Mehr dazu im nächsten Vortrag

Vielen Dank fürIhre Aufmerksamkeit!

Jürgen Brauckmanndfnpca@dfn-cert.de