WWW.ABSTRACT.XLIBX.INFO
FREE ELECTRONIC LIBRARY - Abstract, dissertation, book
 
<< HOME
CONTACTS



Pages:   || 2 | 3 | 4 | 5 |   ...   | 48 |

«Aufbau und Betrieb einer Zertifizierungsinstanz Ingmar Camphausen Stefan Kelm Britta Liedtke Lars Weber März 2000 DFN-PCA Vogt-Kölln-Straße 30 ...»

-- [ Page 1 ] --

DFN-PCA

Handbuch

Aufbau und Betrieb einer

Zertifizierungsinstanz

Ingmar Camphausen

Stefan Kelm

Britta Liedtke

Lars Weber

März 2000

DFN-PCA Vogt-Kölln-Straße 30 D-22527 Hamburg

   

Zusammenfassung

Die oberste Zertifizierungsstelle (CA) des Deutschen Forschungsnetzes (DFN) will mit diesem Handbuch für Zertifizierungstellen die Nutzung von Public-Key-Verfahren erleichtern und

fördern. Das Handbuch beschreibt die Abläufe bei der Planung, Einrichtung und dem Betrieb einer CA für eine exemplarische DFN-Mitgliedseinrichtung. Es werden dabei nicht nur technische, sondern ebenso organisatorische und rechtliche Aspekte (Datenschutz, Signaturgesetz) behandelt. Um Anwendern dieses Handbuches den Aufbau und die Inbetriebnahme einer eigenen Zertifizierungsstelle zu vereinfachen, werden entsprechende detaillierte Schritt-für-SchrittAnleitungen für die meisten Routine-Tätigkeiten einer CA gegeben.

Da sich dieses Handbuch in erster Linie an Anwender aus dem universitären und Forschungsbereich wendet, stehen Open-Source-Programme zur Zertifizierung und zum Betrieb der CA wie PGP, OpenSSL und Apache im Mittelpunkt der Betrachtungen. Zwei der drei Teile dieses Handbuches erklären daher ausführlich die Installation, Konfiguration und Benutzung von OpenSSL und des Apache HTTP-Servers in einer Zertifizierungsstelle.

Das Handbuch wird durch einen umfangreichen Anhang abgerundet, der u.a. eine generische Low-Level-Zertifizierungsrichtlinie, Beschreibungen einiger nützlicher Zertifizierungswerkzeuge und Beispiel-Konfigurationen für PGP, OpenSSL und Apache enthält.

Abstract The top-level (‘root’) certification authority (CA) of the German Research Network (DFN) provides this manual in order to simplify the introduction and use of public key based infrastructures. The process of planning, establishing and running a certification authority is described, whereby a fictive member institution of the DFN Association is used to exemplify the discussion. In addition to step-by-step guides for most routine proceedures, a thorough analysis of organizational and legal aspects is provided, whereby the German laws and the EU Directives pertaining to data privacy and digital signatures are considered.

As this handbook is primarily intended for the research and educational communities, opensource software is used by the CA. Detailed instructions are therefore provided, with which the reader is lead through the process of compiling, installing, configuring and using the Apache HTTP server with OpenSSL in a CA environment.

The manual’s appendix contains a generic low-level certification policy, descriptions of some useful certification tools, example configurations for PGP, OpenSSL and Apache.

Vorwort Ziel des Projektes „PCA im DFN – Aufbau einer Policy Certification Authority (PCA) für das Deutsche Forschungsnetz“1 (DFN-PCA) ist der kontinuierliche Aufbau einer Vertrauensinfrastruktur zur Beglaubigung, Verteilung und Verwaltung von öffentlichen Schlüsseln, wie sie für gängige kryptographische Verfahren gebraucht werden. Dabei wird im Projekt ein “bottom-up”-Ansatz verfolgt, bei dem nach und nach mehr DFN-Mitgliedseinrichtungen eine entsprechende eigene Infrastruktur in ihrem Hause aufbauen, die dann durch Verknüpfung mit der DFN-PCA und untereinander zu einem immer dichter werdenden Netz wächst.

Aus der Praxis des DFN-PCA-Projektes, den Anrufen und E-Mails vieler Nachfrager und dem persönlichen Kontakt auf Tagungen wie dem DFN-CERT-Workshop oder dem DFN-Arbeitskreis „Security“ wissen die PCA-Mitarbeiter, daß es einen großen Bedarf an Informationen zum Aufbau und Betrieb einer Zertifizierungsstelle wie auch zur Einrichtung und dem Betrieb eines sicheren (SSL-)Webservers gibt – und bislang immer noch zu wenig entsprechende Dokumentation.

Die rege Resonanz, auf die die Diplomarbeit des Projekt-Mitarbeiters Herrn CAMPHAUSEN zudem gestoßen war, und die diversen Veränderungen besonders auf dem Gebiet der rechtlichen Rahmenbedingungen, die sich seit der Abgabe der Arbeit Anfang 1999 ergeben hatten, ließen es aus Sicht des PCA-Projektes sinnvoll erscheinen, eine überarbeitete und um das Gebiet Server-Zertifizierung erweiterte Fassung dieser Arbeit als Handbuch herauszugeben.

Zugleich liegen mit diesem Handbuch nun erstmals das bisherige OpenSSL-Handbuch und das bisherige SSL-Apache-Handbuch des DFN-PCA-Projektes, die bislang nur als Online-Dokumente existierten2, auch in gedruckter Form vor, wodurch sich hoffentlich der Kreis ihrer Anwenderinnen und Anwender noch vergrößert.

Zielgruppe

Das vorliegende Handbuch wendet sich an Personen, die mit dem Aufbau einer Zertifizierungsstelle oder einer kompletten Infrastruktur für Public-Key-Zertifikate betraut sind oder dies erwägen, ebenso wie an Administratoren, die einen WWW-Server um sichere Zugriffsmöglichkeiten via SSL erweitern wollen. Gleichermaßen kann es aber dem gestandenen CA-Operator als Gelegenheit dienen, seine praktischen Erfahrungen zu hinterfragen oder vielleicht doch noch die eine oder andere Das Projekt wird unter der Nr. TK 602–SD 111 aus Mitteln des Bundesministeriums für Bildung und Forschung (BMBF) durch den Verein zur Förderung eines Deutschen Forschungsnetzes e.V. – DFN-Verein – finanziert.

http://www.pca.dfn.de/dfnpca/certify/ssl/handbuch/





vvi

Anregung zu bekommen. Das Handbuch ist sowohl für die konzeptionelle Vorbereitung einer eigenen Zertifizierungsstelle oder -infrastruktur als auch als Nachschlagewerk oder Checkliste bei der praktischen täglichen Arbeit in einer CA oder mit einem eigenen SSL-Server gedacht.

Der erste Teil des Handbuches befaßt sich hauptsächlich mit konzeptionellen und organisatorischen Aspekten des Aufbaus und Betriebs einer Zertifizierungsinstanz, er sollte insofern auch für „Neulinge“ auf diesem Gebiet und für Leserinnen und Leser, die keine Programmier- oder Administrationserfahrung mit Computern haben, verständlich sein, zumal in einem Einführungskapitel die wichtigsten Grundlagen und Begriffe erläutert werden. (Kenntnisse und Erfahrungen mit Verschlüsselung, Public-Key-Verfahren oder -Zertifizierung, mit PGP, S/MIME oder SSL schaden natürlich nicht, sind aber keine Voraussetzung für die Arbeit mit diesem Handbuch.) Teil II und III sind hingegen stärker technisch ausgerichtet; zu ihrem Verständnis sind GrundlagenKenntnisse in UNIX und in der Übersetzung und Installation von Software-Paketen sowie von Public-Key-Zertifizierung erforderlich.

Entstehungsgeschichte Dieses Handbuch basiert auf mehreren Dokumenten und entstand unter Beteiligung aller Mitarbeiter des DFN-PCA-Projektes: Teil I sowie ein Großteil der Anhänge sind eine Weiterentwicklung und Verallgemeinerung des Konzeptes für eine Zertifizierungsstelle für die FU Berlin, das INGMAR CAMPHAUSEN 1999 als Diplomarbeit geschrieben hat [Cam99]. In die Überarbeitung floß u.a. das Feedback ein, das er von STEFAN KELM als Mitbetreuer der Diplomarbeit bekommen hatte. Bei Teil II und III sowie den dazugehörigen Anhängen handelt es sich um fortgeschriebene Versionen des OpenSSL- und des SSL-Apache-Handbuches der DFN-PCA, die zur Zeit beide von LARS WEBER betreut werden. BRITTA LIEDTKE steuerte schließlich ihre praktische Erfahrung aus der Zertizierungsarbeit im DFN-PCA-Projekt insbesondere zu den Abschnitten über PGP und den Anhang mit der Aufwandsabschätzung bei.

Dieses Handbuch wurde im März 2000 zum ersten DFN-PCA-Tutorium als Teil der Tutoriumsunterlagen für die Teilnehmer erstmalig aufgelegt.

Struktur der Arbeit

Dieses Handbuch ist in drei Teile nebst einem Anhang gegliedert:

Teil I enthält das Konzept zu Planung, Aufbau und Betrieb einer eigenen Public-KeyZertifizierungsstelle, die nach den Richtlinien (der Policy) der DFN-PCA betrieben und in die DFN-Zertifizierungsstruktur eingebunden werden soll

–  –  –

Teil III erläutert, wie das Programm OpenSSL aus Teil II benutzt werden kann, um den verbreiteten Web-Server Apache auch als HTTPS-Server einsetzen zu können, so daß mit SSL/TLS gesicherte Verbindungen zu ihm aufgebaut werden können

–  –  –

Kapitel 1 beschreibt die Motivation, die diese Arbeit entstehen ließ Kapitel 2 erläutert die theoretischen Grundlagen von Public-Key-Verschlüsselung, digitalen Signaturen, Zertifikaten und Certification Authorities, soweit sie für das Verständnis des Handbuches wichtig sind Kapitel 3 stellt eine Bestandsaufnahme dessen dar, was in der Praxis an Standards, Verfahren, Software und rechtlichen Regelungen im Zusammenhang mit Zertifizierung existiert Kapitel 4 enthält das Konzept für die exemplarische Zertifizierungsstelle einer fiktiven Universität („UNI“); wobei die Entwurfsziele erläutert, Lösungsansätze vorgeschlagen und begründet und sowohl rechtliche als auch kryptographische und organisatorische Aspekte des Zertifizierungsbetriebs diskutiert werden Kapitel 5 gibt detaillierte Hinweise, wie bei der praktischen Realisierung und dem Betrieb einer eigenen Zertifizierungsstelle verfahren werden sollte und worauf dabei besonders zu achten ist Kapitel 6 zeigt mögliche zukünftige Entwicklungen und Perspektiven für eine Zertifizierungsstelle auf

–  –  –

Kapitel 7 erläutert die Konfiguration, Übersetzung und Installation von OpenSSL Kapitel 8 beschreibt die von OpenSSL unterstützten X.509-Zertifikat-Erweiterungen sowie deren Bedeutung und Nutzung Kapitel 9 befaßt sich mit der Konfigurationsdatei von OpenSSL und den darin zur Verfügung stehenden Optionen Kapitel 10 schildert, wie mit OpenSSL Zertifizierungs-Requests und Zertifikate erzeugt werden können Kapitel 11 führt in den Umgang mit Widerrufslisten für Public-Key-Zertifikate (CRLs) unter OpenSSL ein Kapitel 12 gibt Erfahrungen aus Tests und dem praktischen Einsatz von OpenSSL zur Zertifizierung wieder, wobei insbesondere auf die Nutzung von OpenSSL-Zertifikaten mit den beiden verbreiteten WWW-Browsern Netscape Communicator und Internet Explorer eingegangen wird viii Kapitel 13 rundet den OpenSSL-Teil mit einigen nützlichen Tools ab, die OpenSSL ideal ergänzen <

–  –  –

Kapitel 14 Installation und Einrichtung des Apache-Webservers als HTTPS-Server unter Verwendung von OpenSSL Kapitel 15 Betrieb des SSL-Apache

–  –  –

Anhang A enthält Empfehlungen von Büchern, Artikeln, Online-Dokumenten, WWWHyperlink-Sammlungen und Mailinglisten, die im Zusammenhang mit dem Thema dieses Handbuches erwähnenswert sind Anhang B ist ein Bezugsquellen-Nachweis für Programme und Geräte, die im Hauptteil genannt werden Anhang C führt ein Beispiel dafür an, wie die Konfigurationsdatei des Programms PGP 2.6.3in für dessen Einsatz in einer Zertifizierungsstelle aussehen kann Anhang D listet eine Reihe undokumentierter PGP-Optionen auf Anhang E Beispiel für eine OpenSSL-Konfigurationsdatei für den OpenSSL-Einsatz in einer Zertifizierungshierarchie Anhang F dient als Nachschlagewerk für die diversen Kommandos und Parameter, die das OpenSSL-Paket umfaßt Anhang G gibt ein Beispiel für die Konfigurationsdatei httpd.conf des Apache-Webservers Anhang H stellt einige Software-Werkzeuge für die Analyse von X.509-Zertifikaten und von PGP-Schlüsseln vor Anhang I liefert Beispiele für Probleme aus der Zertifizierungspraxis sowohl bei BrowserZertifikaten als auch beim Zertifizieren von PGP-Schlüsseln Anhang J wirft einen Blick auf den zeitlichen und finanziellen Aufwand, der mit den verschiedenen Auf- und Ausbaustufen einer Zertifizierungsstelle der vorgeschlagenen Form vermutlich verbunden wäre Anhang K gibt eine exemplarische “Low-Level”-Policy für die DFN-PCA-konforme Arbeit einer Zertifizierungsstelle wieder Anhang L umfaßt eine kleine Auswahl von „Standard-E-Mails“ als Formulierungsvorschläge für Nachrichten, wie sie bei der Arbeit einer Zertifizierungsstelle immer wieder verschickt werden müssen

–  –  –

WICHTIGER HINWEIS

DIESES DOKUMENT (DAS „CA-HANDBUCH“) ENTSTAND IN EINEM DFN-PROJEKT AN DER

UNIVERSITÄT HAMBURG UND WURDE NACH BESTEM WISSEN UND GEWISSEN VERFASST.

DENNOCH WIRD KEINE HAFTUNG FÜR DIE KORREKTHEIT, VOLLSTÄNDIGKEIT ODER ANWENDBARKEIT DER HIER BESCHRIEBENEN INFORMATIONEN UND DER VORGESCHLAGENEN

MASSNAHMEN ÜBERNOMMEN. FERNER KANN KEINE HAFTUNG FÜR EVENTUELLE SCHÄDEN,

ENTSTANDEN DURCH DIE ANWENDUNG DER IN DIESEM DOKUMENT BESCHRIEBENEN ANWEISUNGEN, ÜBERNOMMEN WERDEN. DIE VERANTWORTUNG FÜR DIE VERWENDUNG DER HIER

BESCHRIEBENEN KONZEPTE, VERFAHREN UND PROGRAMME LIEGT ALLEIN BEI DEN JEWEILIGEN ANWENDERN.

Noch eine Bitte...

Wir würden uns sehr freuen, wenn Sie, sehr geehrte Anwenderin, sehr geehrter Anwender, uns mit Ihrem Feedback helfen würden, das vorliegende CA-Handbuch weiterzuentwickeln und noch besser auf Ihre Wünsche und Bedürfnisse abzustimmen! Bitte lassen Sie uns wissen, welche Abschnitte Sie bei Ihrer Arbeit mit diesem Handbuch als besonders hilfreich oder womöglich als entbehrlich empfunden haben, was Sie vielleicht darin vermißt haben oder welche Stellen aus Ihrer Sicht anders formuliert werden sollten.

Auch wenn Sie sonstige Anregungen, Korrekturen oder Hinweise auf eventuelle Fehler in diesem Handbuch haben, zögern Sie bitte nicht, uns diese – gerne auch verschlüsselt – zukommen zu lassen.

Am Ende dieses Handbuches finden Sie dazu die Mailadresse, Faxnummer und Postanschrift des DFN-PCA-Projektes sowie unsere Schlüsselinformationen.

x Inhaltsverzeichnis

–  –  –

3.2 PGP Public-Key – Grobstruktur einschließlich Zertifikaten............. 20

3.3 Struktur eines PGP Public-Keys und eines PGP-Key-Zertifikates.......... 20

12.1 Netscape-Fehlermeldung bei wiederholtem Laden einer CRL............ 170

12.2 Netscape-Fehlermeldung: überschrittene Gültigkeitsdauer einer CRL........ 171

–  –  –

Ohne Verschlüsselung gibt es bei der Kommunikation per E-Mail keine Vertraulichkeit. Als Beleg müßten die beiden folgenden Zitate eigentlich ausreichen, um jeden Skeptiker davon zu überzeugen,



Pages:   || 2 | 3 | 4 | 5 |   ...   | 48 |


Similar works:

«Cook, Tanner, Jovanović, Lawes 1 13th Air Transport Research Society (ATRS) World Conference, Abu Dhabi, June 27-30, 2009 THE COST OF DELAY TO AIR TRANSPORT IN EUROPE – QUANTIFICATION AND MANAGEMENT Dr Andrew Cook, Principal Research Fellow, Department of Transport Studies, University of Westminster, 35 Marylebone Road, London, United Kingdom, NW1 5LS Tel: +44 (0)20 7911 5801, fax: +44 (0)20 7911 5057, e-mail: cookaj@westminster.ac.uk Graham Tanner, Research Fellow, Department of Transport...»

«Aalborg Universitet 'Kommunikalsk' samspil i musikterapi Holck, Ulla Publication date: Document Version Tidlig version også kaldet pre-print Link to publication from Aalborg University Citation for published version (APA): Holck, U. (2002). 'Kommunikalsk' samspil i musikterapi: kvalitative videoanalyser af musikalske og gestiske interaktioner med børn med betydelige funktionsnedsættelser, herunder børn med autisme. Institut for Musik og Musikterapi, Aalborg Universitet. General rights...»

«HILLSBOROUGH TOWNSHIP PLANNING BOARD PUBLIC MEETING MINUTES November 03, 2011 Chairman Conard called the Planning Board meeting of November 03, 2011 to order at 7:30 p.m. All stood for the Pledge of Allegiance. The meeting took place in the courtroom of the Municipal Complex. Chairman Conard announced the meeting has been duly advertised according to the Section 5 of the Open Public Meetings Act, Chapter 231, Public Law 1975 (“Sunshine Law”). ROLL CALL Mayor Gloria McCauley – Present Sam...»

«LifeSize® Video Communications Systems Administrator Guide November 2009 Copyright Notice ©2005 2009 LifeSize Communications Inc, and its licensors. All rights reserved. LifeSize Communications has made every effort to ensure that the information contained in this document is accurate and reliable, but assumes no responsibility for errors or omissions. Information in this document is subject to change without notice. Companies, names, and data used in examples herein are fictitious unless...»

«INL/CON-06-11658 PREPRINT Highly Enriched Uranium Metal Annuli and Cylinders With Polyethylene Reflectors and/or Internal Polyethylene Moderator Conference on Nuclear Criticality Safety Tyler Sumner J. Blair Briggs Leland M. Montierth May 2007 This is a preprint of a paper intended for publication in a journal or proceedings. Since changes may be made before publication, this preprint should not be cited or reproduced without permission of the author. This document was prepared as an account of...»

«Ausgezeichnete OCR: über 70 internationale Awards Führende Texterkennung Größere Genauigkeit Höhere Leistung Einfachere Bedienung Programm zur optischen Texterkennung (OCR) ABBYY FineReader Version 6.0 Benutzerhandbuch © 2002 ABBYY Software House Die Informationen dieses Handbuchs können ohne Vorankündigung geändert werden und stellen seitens ABBYY Software House keine verbindliche Verpflichtung dar. Die hier beschriebene Software wird unter Lizenz vertrieben. Sie darf nur entsprechend...»

«Whereof One Cannot Speak: Legal Diversity and the Limits of a Restatement of Conflict of Laws PERRY DANE* I. How much can a Restatement of Conflicts say about the law of choice of law? Several papers in this Symposium have addressed that question, though usually while discussing the vague or uncertain state of choice of law today. I want to take a different tack on the subject, focusing on analytic boundaries in the structure of choice of law itself. A legal system's impulse to tackle choice of...»

«The Prohibition of Amnesties by the Inter-American Court of Human Rights By Christina Binder A. Introduction The Inter-American Court of Human Rights has proven a particularly active defender of human rights in Latin America. The Court has developed an innovative and creative jurisprudence with respect to all kinds of human rights violations, including forced disappearances, extrajudicial killings, violations of indigenous peoples' rights or those of undocumented migrants.' Legal scholars have...»

«AAC Annual Report December 2013 AAC Annual Report ALLIGATOR ADVISORY COUNCIL Louisiana’s Alligator Industry TABLE OF CONTENTS Louisiana leads the U. S. in the production of alligator skins. After rebuilding Louisiana’s the population through research, manAlligator agement and law enforcement during the Industry 1960's, the wild harvest from 1972 through 2012 has produced over Washington 2 870,000 wild skins. The alligator industry, D.C. including the wild harvest, egg collection and farm...»

«1 Gluteal Amnesia The Dave Tate Story The Program Phase GA-1 by Alwyn Cosgrove and Dave Tate The information in this document is property of Dave Tate, Alwyn Cosgrove and EliteFTS. Copyright laws apply. No part of this document can be used without the written consent of EliteFTS. In other words. We wrote it, don’t steal it or say you wrote it. Intro From Dave Tate I do not want to spend a lot of time commenting on this program. I just wanted to drop a message in here to let you all know where...»

«Copyright 2014 Corel Corporation. All rights reserved. Corel® Painter® 2015 User Guide The contents of this user guide and the associated Corel Painter software are the property of Corel Corporation and its respective licensors, and are protected by copyright. For more complete copyright information about Corel Painter, please refer to the About Corel Painter section in the Help menu of the software. Product specifications, pricing, packaging, technical support and information...»

«Department of Law and Criminology Research Postgraduate Students’ Handbook 2015 2016 INTRODUCTION Welcome to the Department of Law & Criminology at Aberystwyth University. This booklet contains a variety of information which will be useful to you, so please keep it for future reference. As a graduate student you will already be familiar with university life and as a postgraduate research student, you are primarily responsible for your own learning – but do not hesitate to seek advice and...»





 
<<  HOME   |    CONTACTS
2016 www.abstract.xlibx.info - Free e-library - Abstract, dissertation, book

Materials of this site are available for review, all rights belong to their respective owners.
If you do not agree with the fact that your material is placed on this site, please, email us, we will within 1-2 business days delete him.