Version 14 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 22.08.2024 treten die Zertifizierungsrichtlinie (CP) und die Erklärung zum Zertifizierungsbetrieb (CPS) jeweils in Version 14 im Sicherheitsniveau „Global“ in Kraft. Änderungen im CP:

  • 1: URL zu Diensteüberblick geändert
  • 1.1: Referenz auf ETSI TS 119 411-6; Absatz umsortiert
  • 1.2: OIDs
  • 1.5.2: URL zu Diensteüberblick geändert
  • 2.2: URL für Informationen geändert
  • 4.2.2: S/MIME-CAA
  • 4.3.1: Pre-Sign-Linting
  • 4.9: URL für Informationen geändert
  • 7.1.6: S/MIME-BR OIDs auch für Sub-CA-Zertifikate
  • 8.1: Referenz auf ETSI TS 119 411-6
  • 8.2: Referenz auf ETSI TS 119 411-6
  • 8.4: Referenz auf ETSI TS 119 411-6
  • 9.6.1: Referenz auf ETSI TS 119 411-6
  • 10: ETSI TS 119 411-6, RFC8659 und RFC9495; Link Satzung DFN angepasst; weitere Links angepasst/entfernt
  • 12: URL auf Policy-Archiv geändert

Änderungen im CPS:

  • Titel und Fußzeile: Versionsnummer und Datum
  • 1.2 OIDs
  • 5.4.1 und 5.4.1.1: Verfeinerte Anforderungen an Router- und Firewallprotokollierung
  • 12: URL auf Policy-Archiv geändert

Die Änderungen dienen ausschließlich dem weiteren Erhaltungsbetrieb und haben keine praktischen Auswirkungen auf den Teilnehmerservice.

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cp_v14.pdf

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cps_v14.pdf

Englisch (maßgebliche Fassung):

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cp_v14-en.pdf

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cps_v14-en.pdf

Mit Änderungsmarkierungen:

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cp_v14_redline.pdf

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cps_v14_redline.pdf

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cp_v14-en_redline.pdf

https://doku.tid.dfn.de/_media/de:dfnpki:doc:archiv:dfn-pki_cps_v14-en_redline.pdf

(Jürgen Brauckmann, 12.08.2024)

Java RA-Oberfläche Version 4.0

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 4.0 hier herunterladen:

guira-4.0.zip

guira-4.0.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.10 umfasst die Version 4.0 die folgenden Änderungen:

  • Windows start scripts fixed
  • Version number check fixed

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 27.05.2024)

Java RA-Oberfläche Version 3.10

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.10 hier herunterladen:

guira-3.10.zip

guira-3.10.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.9.1 umfasst die Version 3.10 die folgenden Änderungen:

  • Drucken von archivierten Zertifikatanträge nun möglich
  • Links zu externer Dokumentation aktualisiert
  • Fehler im ‚New CA‘-Workflow behoben
  • Fehlerbehandlung in Workflows verbessert
  • Workflow zum Anzeigen des Formulars für die Ernennung von TSMA deaktiviert
  • Beispiel für die Einstellung der Schriftart in Startskripten hinzugefügt
  • Fix bezüglich Thread-Handling in JDK 21

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 29.04.2024)

ETSI-Audit 2023 abgeschlossen

Das Audit 2023 der DFN-PKI Global wurde am 24.11.2023 mit dem Ausstellen der Zertifizierungsurkunde erfolgreich abgeschlossen.

Der Zertifizierungsbetrieb der DFN-PKI im Sicherheitsniveau „Global“ wurde Ende August eingestellt. Seitdem werden keine neuen Zertifikate mehr ausgestellt. Da die existierenden Zertifikate aber selbstverständlich bis zu ihrem regulären Ablaufsdatum gültig bleiben sollen, müssen die Basis-Infrastruktur der PKI und die Sperrdienste weiterhin externen Anforderungen genügen und geprüft werden.

Die Zertifizierungsurkunde ist abrufbar unter https://www.tuvit.de/fileadmin/user_upload/67142UD.pdf

Die Zusammenfassungen der Ergebnisse für die Root-Programme der Browser und Betriebssystem-Hersteller stehen ebenfalls zur Verfügung:

https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/en/AA2023112301_DFN-Verein_Certification_Authority_2_Standard_Audit_V1.0.pdf

https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/en/AA2023112301_DFN-Verein_Certification_Authority_2_TLS-BR_Audit_V1.0.pdf

(Jürgen Brauckmann, 30.11.2023)

Java RA-Oberfläche Version 3.9.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.9.1 hier herunterladen:

guira-3.9.1.zip

guira-3.9.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.9 umfasst die Version 3.9.1 die folgenden Änderungen:

  • Fehler beim Drucken des TS-Schulungsnachweises behoben.
  • Tippfehler in der Dropdown-Liste in der Detailansicht von Anträgen behoben.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 16.11.2023)

Version 13 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 29.09.2023 tritt die Zertifizierungsrichtlinie Version 13 im Sicherheitsniveau „Global“ in Kraft.

Änderungen:

  • Englische Versionen müssen als maßgeblich markiert werden (Anforderung aus der Chrome Root Program Policy).
  • CP 6.1.1: Genauere Beschreibung Schlüsselerzeugung
  • CPS 5.4.1: Events erweitert

Die Änderungen dienen ausschließlich dem weiteren Erhaltungsbetrieb und haben keine praktischen Auswirkungen auf den Teilnehmerservice.

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13.pdf

Englische Version:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13-EN.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13-EN.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13-EN_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13-EN_redline.pdf

(Jürgen Brauckmann, 18.09.2023)

Java RA-Oberfläche Version 3.9

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.9 hier herunterladen:

guira-3.9.zip

guira-3.9.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.8 umfasst die Version 3.9 die folgenden Änderungen:

  •  Benennung der Datei bei einem Zertifikatexport verbessert
  • Englische und deutsche Lokalisierung über „Bearbeiten->Sprache ändern“ verfügbar.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 31.08.2023)

GÉANT TCS: Unterbrechung bei der Ausstellung von Client-Zertifikaten ab 28.08.2023 zu erwarten

Wir gehen derzeit davon aus, dass es ab 28.08.2023 in GÉANT TCS zu einer Unterbrechung der Zertifikataustellung für Client-Zertifikate von schwer vorhersehbarer Dauer kommen kann.

Für Server-Zertifikate sind keine Probleme zu erwarten.

Hintergrund: Sectigo hat nun mit dem Update auf SCM 23.8 die Voraussetzungen geschaffen, um nach dem Inkrafttreten der S/MIME-BRs weiterhin Zertifikate für E-Mail-Nutzung ausstellen zu können.

Hierbei sehen wir aktuell zwei Probleme:

1. Es wird nach Aussage von Sectigo für jede Organisation die Validierung eines „Organization Identifiers“ vorausgesetzt, um ab 28.08.2023 weiterhin Client-Zertifikate ausstellen zu können.

Der für uns sichtbare Teil des Prozesses ist so gestaltet, dass es nach unserer Einschätzung illusorisch ist, dass das Sectigo Validierungsteam bis zu diesem Zeitpunkt alle Organization Identifier bestätigen könnte.

2. Als technisches Nebenproblem ist idp/clientgeant noch nicht angepasst. Ob die Anpassungen zum Termin fertig werden, ist uns nicht bekannt.

Jürgen Brauckmann (22.08.2023)

Version 12 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 01.09.2023 tritt die Zertifizierungsrichtlinie Version 12 im Sicherheitsniveau „Global“ in Kraft.

Die umfangreichen Änderungen gegenüber der vorherigen Version stellen die Übereinstimmung mit den sich fortentwickelnden Anforderungen der Root-Programme sicher.

Ab dem 30.08.2023 werden aufgrund der Migration zu GÉANT TCS keine neuen Zertifikate mehr im Sicherheitsniveau „Global“ ausgestellt. Die Änderungen an der Zertifizierungsrichtlinie dienen daher ausschließlich dem weiteren Erhaltungsbetrieb und haben keine praktischen Auswirkungen mehr auf den Teilnehmerservice.

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V12.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V12.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V12_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V12_redline.pdf

(Jürgen Brauckmann, 14.08.2023)

ETSI-Audit 2022 abgeschlossen

Am 16.12.2022 wurde mit der Ausstellung der Zertifizierungsurkunde das Audit 2022 der DFN-PKI abgeschlossen. Wie bei jedem Audit, der bisher durchgeführt wurde, wurde bei einer geringen Anzahl von Teilnehmern die Arbeit des Teilnehmerservice untersucht. Wir bedanken uns bei allen Einrichtungen, die wie auch in den letzten Jahren mit ihrer guten Arbeit ein erfolgreiches Audit der DFN-PKI ermöglicht haben!

Die Zertifizierungsurkunde ist bei TÜViT abrufbar: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/67142UD.pdf

Die  Zusammenfassung der Ergebnisse für die Root-Programme der Browser und Betriebssystemhersteller steht ebenfalls zur Verfügung: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/AA2022112101_DFN-Verein_Certification_Authority_2_V1.0.pdf

(Jürgen Brauckmann, 04.01.2023)