Zweite Generation der DFN-PKI Serverzertifikate

Was zeichnet die zweite Generation der DFN-PKI aus?


Während die erste Generation der DFN-PKI, die seit 2007 in Betrieb ist, mit dem Wurzelzertifikat „Deutsche Telekom Root CA 2“ in den Betriebssystemen und Browsern verankert ist, verwendet die zweite Generation die „T-TeleSec GobalRoot Class 2“.

Zertifikatshierarchie


Bei uns in der Universität Konstanz wird das neue G2-Zertifikat l.E. dann so abgebildet:

T-TeleSec GlobalRoot Class 2
→ DFN-Verein Certification Authority 2
→ → DFN-Verein Global Issuing CA
→ → → 'Vorname Nachname'


Ein weiterer Unterschied: In der ersten Generation haben die meisten Einrichtungen eine eigene, echte Sub-CA mit einem eigenen einrichtungsspezifischen Sub-CA-Zertifikat in der Zertifizierungshierarchie erhalten. Dagegen werden in der zweiten Generation der DFN-PKI die Zertifikate üblicherweise in der dfn-ca-global-g2 mit dem Sub-CA-Zertifikat „DFN-Verein Global Issuing CA“ ausgestellt.

Das bedeutet, dass der CA-Eintrag für die Universität Konstanz in der neuen Zertifikatskette der Zweiten Generation nicht mehr enthalten ist.

Warum ist die zweite Generation der DFN-PKI notwendig?

Das Wurzelzertifikat „Deutsche Telekom Root CA 2“ der ersten Generation läuft im Juli 2019 ab und es gibt keine verlängerte Version dieses Zertifikats. Daher muss die DFN-PKI auf ein neues Wurzelzertifikat wechseln.

Wie lange kann die zweite Generation der DFN-PKI genutzt werden?

Das Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ ist bis 2033 gültig. Das Intermediate-Zertifikat für die DFN-PCA hat eine Laufzeit bis Februar 2031.

Alte Zertifikate (Generation 1)

Was passiert mit ausgestellten Zertifikaten und CAs aus der ersten Generation der DFN-PKI?

 
Die erste Generation der DFN-PKI wird bis zum Laufzeitende des Wurzelzertifikats im Juli 2019 weiter betrieben. Die ausgestellten Zertifikate bleiben unverändert bis zu deren Ablauf bzw. Sperrung gültig, sofern dem nicht neue Anforderungen von Browser- oder Betriebssystemherstellern entgegenstehen.

Serverzertifikate (z.B. für LDAP) können noch weiter verlängert/erneuert werden.
Allerdings haben auch diese eine maximale Gültigkeit bis zum 10. Juli 2019.

Danach verfällt das Wurzelzertifikat und auch alle Server- und Nutzerzertifikate der alten Generation sind danach nicht mehr gültig.
Das bedeutet, dass bis zu diesem Datum eine Umstellung erfolgt sein muss.

Neue Zertifikate der alten Generation werden nicht mehr augestellt und nicht vom RA genehmigt.

Achtung!

Das alte PKI-Interface für die Zertifikatanträge enthält ab jetzt eine Warnung und eine Weiterleitung auf die neue Antragsseite.

In der oberen Hälfte der Maske (siehe Bild) sind Links auf die neue Seite enthalten.
Mit einem Klick auf das Universität Konstanz Logo oder auf die Warnung in der Mitte wird die neue Zertifikat-Schnittstelle gestartet.


Weitere Informationen zur neuen Generation
der DFN-PKI

Weitere Informationen über die neue Generation der DFN-PKI, sind in den FAQs zu des DFN zu finden.

https://www.pki.dfn.de/faqpki/faq-generation-2/