Archiv des Autors: Juergen Brauckmann

ETSI-Audit 2023 abgeschlossen

Das Audit 2023 der DFN-PKI Global wurde am 24.11.2023 mit dem Ausstellen der Zertifizierungsurkunde erfolgreich abgeschlossen.

Der Zertifizierungsbetrieb der DFN-PKI im Sicherheitsniveau „Global“ wurde Ende August eingestellt. Seitdem werden keine neuen Zertifikate mehr ausgestellt. Da die existierenden Zertifikate aber selbstverständlich bis zu ihrem regulären Ablaufsdatum gültig bleiben sollen, müssen die Basis-Infrastruktur der PKI und die Sperrdienste weiterhin externen Anforderungen genügen und geprüft werden.

Die Zertifizierungsurkunde ist abrufbar unter https://www.tuvit.de/fileadmin/user_upload/67142UD.pdf

Die Zusammenfassungen der Ergebnisse für die Root-Programme der Browser und Betriebssystem-Hersteller stehen ebenfalls zur Verfügung:

https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/en/AA2023112301_DFN-Verein_Certification_Authority_2_Standard_Audit_V1.0.pdf

https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/en/AA2023112301_DFN-Verein_Certification_Authority_2_TLS-BR_Audit_V1.0.pdf

(Jürgen Brauckmann, 30.11.2023)

Java RA-Oberfläche Version 3.9.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.9.1 hier herunterladen:

guira-3.9.1.zip

guira-3.9.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.9 umfasst die Version 3.9.1 die folgenden Änderungen:

  • Fehler beim Drucken des TS-Schulungsnachweises behoben.
  • Tippfehler in der Dropdown-Liste in der Detailansicht von Anträgen behoben.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 16.11.2023)

Version 13 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 29.09.2023 tritt die Zertifizierungsrichtlinie Version 13 im Sicherheitsniveau „Global“ in Kraft.

Änderungen:

  • Englische Versionen müssen als maßgeblich markiert werden (Anforderung aus der Chrome Root Program Policy).
  • CP 6.1.1: Genauere Beschreibung Schlüsselerzeugung
  • CPS 5.4.1: Events erweitert

Die Änderungen dienen ausschließlich dem weiteren Erhaltungsbetrieb und haben keine praktischen Auswirkungen auf den Teilnehmerservice.

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13.pdf

Englische Version:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13-EN.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13-EN.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V13-EN_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V13-EN_redline.pdf

(Jürgen Brauckmann, 18.09.2023)

Java RA-Oberfläche Version 3.9

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.9 hier herunterladen:

guira-3.9.zip

guira-3.9.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.8 umfasst die Version 3.9 die folgenden Änderungen:

  •  Benennung der Datei bei einem Zertifikatexport verbessert
  • Englische und deutsche Lokalisierung über „Bearbeiten->Sprache ändern“ verfügbar.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 31.08.2023)

GÉANT TCS: Unterbrechung bei der Ausstellung von Client-Zertifikaten ab 28.08.2023 zu erwarten

Wir gehen derzeit davon aus, dass es ab 28.08.2023 in GÉANT TCS zu einer Unterbrechung der Zertifikataustellung für Client-Zertifikate von schwer vorhersehbarer Dauer kommen kann.

Für Server-Zertifikate sind keine Probleme zu erwarten.

Hintergrund: Sectigo hat nun mit dem Update auf SCM 23.8 die Voraussetzungen geschaffen, um nach dem Inkrafttreten der S/MIME-BRs weiterhin Zertifikate für E-Mail-Nutzung ausstellen zu können.

Hierbei sehen wir aktuell zwei Probleme:

1. Es wird nach Aussage von Sectigo für jede Organisation die Validierung eines „Organization Identifiers“ vorausgesetzt, um ab 28.08.2023 weiterhin Client-Zertifikate ausstellen zu können.

Der für uns sichtbare Teil des Prozesses ist so gestaltet, dass es nach unserer Einschätzung illusorisch ist, dass das Sectigo Validierungsteam bis zu diesem Zeitpunkt alle Organization Identifier bestätigen könnte.

2. Als technisches Nebenproblem ist idp/clientgeant noch nicht angepasst. Ob die Anpassungen zum Termin fertig werden, ist uns nicht bekannt.

Jürgen Brauckmann (22.08.2023)

Version 12 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 01.09.2023 tritt die Zertifizierungsrichtlinie Version 12 im Sicherheitsniveau „Global“ in Kraft.

Die umfangreichen Änderungen gegenüber der vorherigen Version stellen die Übereinstimmung mit den sich fortentwickelnden Anforderungen der Root-Programme sicher.

Ab dem 30.08.2023 werden aufgrund der Migration zu GÉANT TCS keine neuen Zertifikate mehr im Sicherheitsniveau „Global“ ausgestellt. Die Änderungen an der Zertifizierungsrichtlinie dienen daher ausschließlich dem weiteren Erhaltungsbetrieb und haben keine praktischen Auswirkungen mehr auf den Teilnehmerservice.

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V12.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V12.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V12_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V12_redline.pdf

(Jürgen Brauckmann, 14.08.2023)

ETSI-Audit 2022 abgeschlossen

Am 16.12.2022 wurde mit der Ausstellung der Zertifizierungsurkunde das Audit 2022 der DFN-PKI abgeschlossen. Wie bei jedem Audit, der bisher durchgeführt wurde, wurde bei einer geringen Anzahl von Teilnehmern die Arbeit des Teilnehmerservice untersucht. Wir bedanken uns bei allen Einrichtungen, die wie auch in den letzten Jahren mit ihrer guten Arbeit ein erfolgreiches Audit der DFN-PKI ermöglicht haben!

Die Zertifizierungsurkunde ist bei TÜViT abrufbar: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/67142UD.pdf

Die  Zusammenfassung der Ergebnisse für die Root-Programme der Browser und Betriebssystemhersteller steht ebenfalls zur Verfügung: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/AA2022112101_DFN-Verein_Certification_Authority_2_V1.0.pdf

(Jürgen Brauckmann, 04.01.2023)

SOAP-Client Version 4.4.1

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in einer neuen Version für JDK >= 11 bereit: https://info.pca.dfn.de/doc/soapclient-bundle-4.4.1.tar.gz

Änderungen der Version 4.4.1 gegenüber 4.4:

  • Aktualisierung der enthaltenen Abhängigkeiten

Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um einen Zugang zu erhalten. Kontakt: mailto:dfnpca@dfn-cert.de

Bitte beachten Sie, dass Sie bei der Implementierung von eigenen Systemen zum Bezug von Zertifikaten aus der DFN-PKI Global unbedingt die Vorgaben der Zertifizierungsrichtlinie und des Dokumentes Pflichten der Teilnehmer einhalten müssen. Bitte besprechen Sie Ihr Projekt vorab mit uns. Kontakt: mailto:dfnpca@dfn-cert.de

(Jürgen Brauckmann, 02.12.2022)

Version 11 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 14.11.2022 tritt die Zertifizierungsrichtlinie Version 11 im Sicherheitsniveau „Global“ in Kraft. Änderungen:

      • Titel und Fußzeile: Versionsnummer und Datum
      • 1.2: OIDs
      • 4.1.2: Prüfung der Zustimmung
      • 4.9.1: Sperrgründe ergänzt
      • 4.9.10: Zeitsynchronisation
      • 5: Betriebshandbuch DFN-PCA-intern kommunizieren
      • 5.7.3: Maßnahmen bei Algorithmenproblemen
      • 5.7.4: Maßnahmen zur Vermeidung einer Wiederholung
      • 6.1.1: Prozedur zur Erzeugung von Schlüsselpaaren von CAs
      • 6.2: Funktionsfähigkeit
      • 6.3.2: Gültigkeit von Zertifikaten an Apple Policy angepasst
      • 9.3: Inventar der Werte

Die Version 11 der Erklärung zum Zertifizierungsbetrieb für das Sicherheitsniveau „Global“, Datum des Inkrafttretens ebenfalls 14.11.2022, beinhaltet folgende Änderungen:

Java RA-Oberfläche Version 3.8

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.8 hier herunterladen:

guira-3.8.zip

guira-3.8.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.7.1 umfasst die Version 3.8 die folgenden Änderungen:

  • Optionalen Parameter ‚Size‘ für die Schlüssellänge im Modul PKCS11 hinzugefügt.
  • Start-Skripte angepasst, so dass das Einlesen der Abhängigkeiten nun in die Datei guira-env.txt bzw. guira-windows-env.txt ausgelagert wurde.
  • Mögliche Java-Option bzw. UI-Skalierung als Kommentar in Start-Skripte aufgenommen.
  • Hinweistexte für nicht-registrierte Domains im Domain-Validierungs-Dialog ergänzt.
  • Inkonsistenz beseitigt: Auch bei E-Mail-Domains soll beim Re-Validierung nur dann die Methode
    ‚whois‘ zur Verfügung stehen, wenn sie beim Initialen Validieren bereits gewählt wurde

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 26.09.2022)