neues aus der dfn-pki · soap-schnittstelle der dfn-pki dfn-pki html browser soap soapclient...
Post on 20-Apr-2018
229 Views
Preview:
TRANSCRIPT
Neues aus der DFN-PKI
Jürgen Brauckmanndfnpca@dfn-cert.de
47. Betriebstagung des DFN-Vereins Folie 2
Sicherheitsniveau „Global“
Sicherheitsniveau „Global“Seit Anfang 2007Neue Version der Policy, längere Laufzeiten
für ZertifikateVerkettung mit „Deutsche Telekom Root CA 2“
Umstellung fastabgeschlossen
Über 160 Einrichtungennutzen DFN-PKI
47. Betriebstagung des DFN-Vereins Folie 3
Anpassungen: Logo
Vorher:
Nachher:
47. Betriebstagung des DFN-Vereins Folie 4
Anpassungen: E-Mailadressen
Auf Anforderung können die eingegebenenE-Mailadressen beschränkt werden:
47. Betriebstagung des DFN-Vereins Folie 5
DFN-PKI FAQ
FAQ-Seiten erweitert:http://www.pki.dfn.de/faqpki
47. Betriebstagung des DFN-Vereins Folie 6
Software und Zertifikate...
Cisco: VPN Concentrator 3030 erzeugt keine 2048 Bit Schlüssel (nur 2047 Bit...)
Alte Netscape und Novell: Werten pathLenConstraints nicht richtig aus...
Opera: Mehrstufige Hierarchie und Zert.-Import...
47. Betriebstagung des DFN-Vereins Folie 7
Hinweise für RAs
Zertifikatnamen (DNs)müssen für Server den FQDN enthalten
(insbesondere keine IP, kein Wildcard, keinen abgekürzten Namen)
müssen für Nutzer den richtigen Namender Person enthalten(Vor- und Nachname; Titel nur, wenn im Ausweis vermerkt)
müssen für Gruppen einen Vorsatz „GRP:“ enthalten(z.B. „CN=GRP: Netzgruppe“)
47. Betriebstagung des DFN-Vereins Folie 8
Ausblick
Zeitstempeldienst fürvertrauenswürdigenZeitangaben in Dokumenten
Direkte Unterstützung inAdobe Acrobat
Testbetrieb läuft Bei Interesse:
pki@dfn.de
47. Betriebstagung des DFN-Vereins Folie 9
SOAP-Schnittstelleder DFN-PKI
47. Betriebstagung des DFN-Vereins Folie 10
SOAP-Schnittstelle der DFN-PKI
DFN-PKI
HTML
Browser
Nutzer RA
Nutzer stellen Anträge über Webschnittstelle
Schlüssel und Anträge werden im Browser generiert
RA muss jeden Antrag einzeln prüfen und genehmigen
Für große Nutzerzahl nicht praktikabel
Bisher:
47. Betriebstagung des DFN-Vereins Folie 11
SOAP-Schnittstelle der DFN-PKI
DFN-PKI
HTML
Browser
SOAP
soapclient
Eigen-entwicklung
Nutzer RA Software Nutzer
Eigen-entwicklung
Zertifizierung kann unter bestimmten Voraussetzungen durch Software erfolgen
Kommunikation direkt oder über soapclient Bibliothek
Webschnittstelle kann parallel weiterbetrieben werden
Neu:
47. Betriebstagung des DFN-Vereins Folie 12
SOAP-Schnittstelle eignet sich für:
Große Anzahl von Nutzern (Studenten, Mitarbeiter etc.)
Chipkarten / USB-Token Initialisierung
Zertifizierung aus lokalen Datenquellen (Verzeichnisdienste)
Lösungen mit lokalem Key-Backupbei der Zertifizierung
47. Betriebstagung des DFN-Vereins Folie 13
Web vs. SOAP-Schnittstelle
Webschnittstelle
Benutzer stellt AntragRA ruft Antrag aufRA signiert und genehmigt Antrag
Benutzer/RA wartet
auf Ausstellung
SOAPnewRequestgetRawRequestapproveRequest
getCertificateByRequestSerial
SOAP-Aufrufe entsprechen den Aktionen in der Webschnittstelle:
47. Betriebstagung des DFN-Vereins Folie 14
soapclient Bibliothek
Schlanke Bibliothek zum Einbindenin eigene Java-Anwendungen
SOAP-Kommunikation synchron asynchron (für grafische Oberflächen)
Kryptografische Operationen PKCS#10-Antrag erstellen PKCS#7
Vertrauenseinstellungen zu den Servernder DFN-PKI bereits integriert
Code-Beispiele enthalten
47. Betriebstagung des DFN-Vereins Folie 15
soapclient Beispiel// Neuen Client erstellenDFNPKIClient client = new DFNPKIClient(„caname“);// Neues RSASchlüsselpaar erzeugenKeyPairGenerator generator = KeyPairGenerator(„RSA“);generator.initialize(2048);KeyPair pair = generator.generateKeyPair();
// Neuen PKCS#10Antrag erzeugenString pkcs10 = Cryptography.createPKCS10(„C=DE,O=DFNCERT,CN=Jan Moennich“, pair.getPublic(), pair.getPrivate());DFNPKIPublic pub = client.getPublic();String pin_hashed = Cryptography.sha1(pin.getBytes());String altNames[] = new String[] {„email:moennich@dfncert.de“};
// Zertifikatantrag bei der CA einreichenint serial = pub.newRequest(0, // RA Nummer pkcs10, // PKCS#10Antrag altNames, // Subject Alt. Names „User“, // Rolle pin_hashed, // SperrPIN „Jan Moennich“, // Name der Person „moennich@dfncert.de“, // EMail der Person „DFNPCA“, // Abteilung true); // Veröffentlichen
47. Betriebstagung des DFN-Vereins Folie 16
soapclient Beispiel// Neuen Client erstellenclient.loadRAFormPKCS12(“/certs/ra.p12“, password.toCharArray());// Instanz mit RAMethodenDFNCERTRegistration ra = client.getRegistration();// Antragsdaten zum Signieren ermittelnbyte raw[] = ra.getRawRequest(serial);// Antragsdaten mit RA Operator Zertifikat signierenString pkcs7 = Cryptography.createPKCS7Signed(raw, client.getRAPrivateKey(), client.getRACertificate());
// Antrag bei der CA mit Signatur genehmigenboolean ok = ra.approveRequest(serial, raw, pkcs7);// Alle 30 Sekunden nach dem ausgestellten Zertifikat fragenString pem = ““;while(pem.equals(““)) { Thread.sleep(30000); pem = ra.getCertificateByRequestSerial(serial);}
47. Betriebstagung des DFN-Vereins Folie 17
Zusammenfassung SOAP
Schnittstelle für Anbindung eigener Infrastruktur an die DFN-PKI
Für: große Nutzerzahlen Token-Initialisierung Einbindung lokaler Verzeichnisdienste lokales Key-Backup uvm.
Mehr dazu im nächsten Vortrag
Vielen Dank fürIhre Aufmerksamkeit!
Jürgen Brauckmanndfnpca@dfn-cert.de
top related