Sie sind hier:  Projekte  >  ECSA  >  PKI

Public Key Infrastructure (PKI)

Ecsa_pki_ca-hirarchie

Bei der durch die FreeIT Root CA begründeten PKI handelt es sich um eine private/selbstsignierte PKI. Diese Unabhängigkeit von großen und zentralen Zertifizierungsstellen bringt nicht nur einen finanziellen, sondern eben auch einen entscheidenden Sicherheitsvorteil, wie Vorkommnisse bei DigiNotar zeigen. Es ist leicht einzusehen, daß wenige zentrale Zertifizierungsstellen einem enorm hohen Angriffs-/Manipulationsinteresse unterliegen.

Die CampusConnect Zertifikatshierarchie leitet sich aus dem FreeIT Root CA Stammzertifikat ab, so daß alle CampusConnect Zertifikate durch die CampusConnect Zertifizierungsinstanz signiert werden. Damit ist es ausreichend, wenn beim Clienten/Participanten die FreeIT Root CA , zur Schließung der Zertifikatskette, angegeben wird.

FreeIT Root CA Certificate: Download
SHA1 Fingerprint: E3:06:DF:1C:45:A6:E0:2A:FA:4D:04:B7:79:57:EB:DC:19:5E:72:01

Zertifikatsantrag (CSR)

Die Mitgliedschaft in einer CampusConnect Community wird vom ECS in der Regel mittels digitalen Zertifikaten geregelt (Authentifikation/Autorisation), weshalb der beitrittswillige Lernplattformanbieter beim ECS-Betreiber zuallererst ein entsprechendes Zertifikat anfordern muß. Ein solcher certificate signing request (CSR) muß vom Lernplattformbetreiber an FreeIT (Zertifizierungsstelle) per Email gesendet werden. Unter Benutzung der openssl Software gelingt die Erstellung eines Zertifikatsantrags in wenigen Schritten.

Folgender Aufruf, getätigt in einer Unix-Shell, erzeugt zunächst einen neuen (geheimen) Zertifikatsschlüssel (lms_campusconnect.key.pem) und anschließend den Zertifikatsantrag (lms_campusconnect.csr.pem):

openssl req -new -sha512 -newkey rsa:2048 -keyout lms_campusconnect.key.pem -out lms_campusconnect.csr.pem

Wichtig ist, daß der Zertifikatsschlüssel unter allen Umständen beim Antragssteller verbleiben muß und nur der Zertifikatsantrag zur Signierung an FreeIT gesendet wird. Das durch FreeIT signierte Zertifikat kann ausschließlich mittels des geheimen Zertifikatsschlüssels betrieben werden. Das beim Erzeugen des Zertifikatsschlüssels gewählte Paßwort wird später bei der LMS-Konfiguration wieder benötigt und ist ebenfalls sorgfältig, geheim und sicher aufzubewahren. Verliert bzw. vergißt man das Zertifikatsschlüsselpaßwort, muß ebenfalls ein komplett neues Zertifikat beantragt werden. Nachfolgendes Listing zeigt eine beispielhafte Sitzung, welche durch obiges Kommando erzeugt wurde:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Baden-Wuerttemberg
Locality Name (eg, city) []:Stuttgart
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FreeIT
Organizational Unit Name (eg, section) []:Development
Common Name (e.g. server FQDN or YOUR name) []:devel-lms.freeit.de
Email Address []:Heiko.Bernloehr@FreeIT.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.

Bitte keine deutschen Umlaute und auch keine Sonderzeichen außer "-" oder "_" verwenden. Bei den letzten beiden Fragen einfach jeweils einen "." eingeben. Mit dem Kommando (eingegeben in einer Unix-Shell):

openssl req -noout -subject -in lms_campusconnect.csr.pem

können die gemachten Angaben aus dem CSR wieder ausgelesen werden. Wenn alles korrekt ist, wird nur der CSR (also hier im Bsp. die Datei lms_campusconnect.csr.pem) an FreeIT gesendet . Das signierte Zertifikat (lms_campusconnect.crt.pem) geht dann wieder zurück an den Antragssteller, welches dann zusammen mit dem privaten Schlüsselzertifikat (lms_campusconnect.key.pem) und dem FreeIT Root CA Zertifikat im Konfigurationsbereich des LMS (ILIAS, StudIP, Moodle) eingetragen wird (siehe dazu auch Bildschirmschnappschuß einer ECS-ILIAS Verbindungskonfiguration).

Zu erwähnen bleibt noch, daß für die Zertifikatsdateinamen, also lms_campusconnect.csr.pem und lms_campusconnect.key.pem, sinnvolle Namen zu wählen sind. Sinnvoll wäre beispielsweise eine Namensgebung nach Organisation und Lernplattform, wie z.B. ilias_uni-stuttgart_campusconnect.csr.pem und ilias_uni-stuttgart_campusconnect.key.pem. Die Dateiendungen, also .csr.pem und .key.pem sollten aber unbedingt beibehalten werden.