IN-CA - Ablauf der Zertifizierung
Vorbemerkung
Dieser Ablauf ist noch nicht abgestimmt mit der IN-Root-CA. Es kann deshalb noch die eine oder andere Änderung eingearbeitet werden.
Aktueller Stand: 26.05.97
1. Generieren eines Schlüsselpaares mittels "pgp -kg"
- Name generieren gemäß Policy:
Realname <E-Mail-Adresse gemäß RFC 822> (Optionen)
Beispiele:
Christian Schlüter-Harraeus <schluet@muc.de>
Christian Schlüter-Harraeus <schluet@muc.de> (SIGN)
Monika Harraeus <monika.harraeus@bajor.muc.de> (ENCR EXPIRE:1998-12-31)
Weitere Beispiele können der IN Certification Policy entnommen werden. - Wahlweise können auch zwei Schlüssel erzeugt werden: Ein "SIGN"-Schlüssel, der nur zum signieren von Schlüsseln dient, sowie ein "ENCR"-Schlüssel, mit dem die E-Mails verschlüsselt werden können (die an die IN-CA angepasste Version PGP2.6.3in (Source für Unix-Systeme) unterstützt den Umgang mit SIGN-und ENCR-Schlüsseln).
2. Einsenden des öffentlichen Schlüssels an die CA
- Export der öffentlichen Schlüssel in eine Datei:
pgp -kxa Schlüsselbzeichnung oder -ID eigenkey.asc - Ausgabe (und merken) der Schlüssel-ID und der Fingerprints:
pgp -kvc Schlüsselbezeichnung - Ausfüllen der Zertifizierungsvereinbarung. Ein ausgefüllte Beispielvereinbarung befindet sich hier.
- Wenn das Formular und der öffentliche PGP-Schlüssel per E-Mail an die IN-CA gesandt werden soll, sollte es sinnvollerweise mit dem eigenen (SIGN-) Schlüssel unterschrieben und mit dem aktuellen ENCR-Schlüssel der IN-CA verschlüsselt werden. Diesen Schlüssel erhält die Benutzerin beim persönlichen Treffen mit dem Repräsentanten der IN-CA auf dem Münchner Usertreffen von MUC.DE.
- Soll das Formular nicht per E-Mail versandt werden, kann es auch ausgedruckt zusammen mit einer Diskette mit dem öffentlichen PGP-Schlüssel direkt dem Repräsentanten der IN-CA auf dem Münchner Usertreffen von MUC.DE übergeben werden. Bitte die Diskette mit dem Namen beschriften.
3. Wie geht's dann weiter?
- Auf dem Münchner Usertreffen prüft der Repräsentant der IN-CA die Identität der
Antragstellerin; dies
geschieht durch Vorlage des Personalausweises oder des Reisepasses (andere Dokumente zum
Identitätsnachweis werden nicht akzeptiert!).
- Die Antragstellerin unterschreibt biomechanisch :-) die ausgefüllte Zertifizierungsvereinbarung.
Hinweis: Mitarbeiterinnen von Siemens, SNI, etc. am Standort Mch P können den Repräsentanten der IN-CA auch im Büro besuchen (33/426; vorher anrufen oder Mail schicken!!). - Der IN-CA-Repräsentant teilt der Antragstellerin die Fingerprints der aktuellen Schlüssel der regionalen IN-CA sowie der übergeordneten IN-Root-CA mit.
- Kurze Zeit später - die Zeitspanne hängt vom aktuellen beruflichen Engagement des IN-CA-Repräsentanten ab ;-) - erhält die Antragstellerin das mittels des SIGN-Schlüssels der regionalen CA unterschriebene Zertifikat wieder zurück.
- Die Nutzerin kann nun die Signatur der IN-CA dem eigenen Schlüsselbund hinzufügen:
pgp -ka Dateiname der erhaltenen Datei - Die zertifizierten öffentlichen Schlüssel der Anwenderinnen werden auf dem FTP-Server von MUC.DE veröffentlicht, es sei denn die Anwenderin hat der Veröffentlichung widersprochen. Darüberhinaus werden diese Schlüssel auf einem der synchronisierten Public-Key-Server des IN bereitgestellt, sowie hierfür die notwendige Infrastruktur geschaffen ist.