Vorbemerkung
Dieser Ablauf ist noch nicht abgestimmt mit der IN-Root-CA. Es kann deshalb noch die eine oder andere Änderung
eingearbeitet werden.
Aktueller Stand: 26.05.97
1. Generieren eines Schlüsselpaares mittels "pgp -kg"
- Name generieren gemäß Policy:
Realname <E-Mail-Adresse gemäß RFC 822> (Optionen)
Beispiele:
Christian Schlüter-Harraeus <schluet@muc.de>
Christian Schlüter-Harraeus <schluet@muc.de> (SIGN)
Monika Harraeus <monika.harraeus@bajor.muc.de> (ENCR EXPIRE:1998-12-31)
Weitere Beispiele können der IN
Certification Policy entnommen werden.
- Wahlweise können auch zwei Schlüssel erzeugt werden: Ein "SIGN"-Schlüssel, der
nur zum signieren von Schlüsseln dient, sowie ein "ENCR"-Schlüssel, mit dem
die E-Mails verschlüsselt werden können (die an die IN-CA angepasste Version
PGP2.6.3in
(Source für Unix-Systeme) unterstützt den Umgang mit SIGN-und ENCR-Schlüsseln).
2. Einsenden des öffentlichen Schlüssels an die CA
- Export der öffentlichen Schlüssel in eine Datei:
pgp -kxa Schlüsselbzeichnung oder -ID eigenkey.asc
- Ausgabe (und merken) der Schlüssel-ID und der Fingerprints:
pgp -kvc Schlüsselbezeichnung
- Ausfüllen der Zertifizierungsvereinbarung.
Ein ausgefüllte Beispielvereinbarung befindet sich hier.
- Wenn das Formular und der öffentliche PGP-Schlüssel per E-Mail an die IN-CA gesandt werden
soll, sollte es sinnvollerweise mit dem eigenen (SIGN-) Schlüssel unterschrieben und mit dem
aktuellen
ENCR-Schlüssel der IN-CA verschlüsselt werden. Diesen Schlüssel erhält die
Benutzerin beim persönlichen Treffen mit dem
Repräsentanten der IN-CA auf dem
Münchner Usertreffen von MUC.DE.
- Soll das Formular nicht per E-Mail versandt werden, kann es auch ausgedruckt zusammen mit einer Diskette mit
dem öffentlichen PGP-Schlüssel direkt dem
Repräsentanten der IN-CA auf dem Münchner Usertreffen von MUC.DE übergeben
werden. Bitte die Diskette mit dem Namen beschriften.
3. Wie geht's dann weiter?
- Auf dem Münchner Usertreffen prüft der Repräsentant der IN-CA die Identität der
Antragstellerin; dies
geschieht durch Vorlage des Personalausweises oder des Reisepasses (andere Dokumente zum
Identitätsnachweis werden nicht akzeptiert!).
- Die Antragstellerin unterschreibt biomechanisch :-) die ausgefüllte Zertifizierungsvereinbarung.
Hinweis: Mitarbeiterinnen von Siemens, SNI, etc. am Standort Mch P können den Repräsentanten
der IN-CA auch im Büro besuchen (33/426; vorher anrufen oder
Mail schicken!!).
- Der IN-CA-Repräsentant teilt der Antragstellerin die Fingerprints der aktuellen
Schlüssel der regionalen IN-CA sowie der übergeordneten IN-Root-CA mit.
- Kurze Zeit später - die Zeitspanne hängt vom aktuellen beruflichen Engagement des
IN-CA-Repräsentanten ab ;-) - erhält die Antragstellerin das mittels des SIGN-Schlüssels
der regionalen CA unterschriebene Zertifikat wieder zurück.
- Die Nutzerin kann nun die Signatur der IN-CA dem eigenen Schlüsselbund hinzufügen:
pgp -ka Dateiname der erhaltenen Datei
- Die zertifizierten öffentlichen Schlüssel der Anwenderinnen werden auf dem
FTP-Server von MUC.DE
veröffentlicht,
es sei denn die Anwenderin hat der Veröffentlichung widersprochen. Darüberhinaus werden diese
Schlüssel auf einem der synchronisierten Public-Key-Server des IN bereitgestellt, sowie hierfür die
notwendige Infrastruktur geschaffen ist.
Zurück zur Homepage der IN-CA