Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:dfnpki:grid:robot [2024/02/02 15:36] – angelegt Juergen Brauckmann | de:dfnpki:grid:robot [2024/02/02 15:41] (aktuell) – [Welche Besonderheiten gibt es bei Robot Zertifikaten?] Juergen Brauckmann | ||
---|---|---|---|
Zeile 7: | Zeile 7: | ||
Für Robot Zertifikate sind einige Besonderheiten zu beachten: | Für Robot Zertifikate sind einige Besonderheiten zu beachten: | ||
- | 1. Zertifikatnehmer eines Robot Zertifikats ist entweder | + | ===Zertifikatnehmer=== |
+ | Zertifikatnehmer eines Robot Zertifikats ist entweder | ||
* eine Einzelperson, | * eine Einzelperson, | ||
* eine dauerhaft etablierte Gruppe von Administratoren, | * eine dauerhaft etablierte Gruppe von Administratoren, | ||
+ | ===Schlüsselerzeugung, | ||
- | 2. Schlüsselerzeugung, | + | * Private Schlüssel für Robot Zertifikate müssen entweder in einem Hardware-Krypto-Gerät (z.B. Smartcard) erzeugt und gespeichert werden oder auf einem entsprechend gesichertem System, zu dem nur der verantwortliche Zertifikatnehmer (s. Begrifferklärung Zertifikatnehmer) Zugang hat. |
- | Private Schlüssel für Robot Zertifikate müssen entweder in einem Hardware-Krypto-Gerät (z.B. Smartcard) erzeugt und gespeichert werden oder auf einem entsprechend gesichertem System, zu dem nur der verantwortliche Zertifikatnehmer (s. Begrifferklärung Zertifikatnehmer) Zugang hat. Private Schlüssel von Robot Zertifikaten sollten während einer längeren Inaktivität nicht unverschlüsselt abgelegt und nicht unverschlüsselt im Netz übertragen werden. Private Schlüssel und Passwörter von Robot Zertifikaten dürfen in jeder Art von Netzwerk nicht im Klartext übertragen werden. | + | |
- | 3. Zertifikatname | + | * Private Schlüssel von Robot Zertifikaten sollten während einer längeren Inaktivität nicht unverschlüsselt abgelegt und nicht unverschlüsselt im Netz übertragen werden. |
+ | |||
+ | * Private Schlüssel und Passwörter von Robot Zertifikaten dürfen in jeder Art von Netzwerk nicht im Klartext übertragen werden. | ||
+ | |||
+ | |||
+ | (Bestimmungen aus DFN-PKI Grid CPS 6.1.1, CP 4.5.1) | ||
+ | |||
+ | ===Zertifikatname=== | ||
Das CN-Attribut im Zertifikatnamen von Robot Zertifikaten muss mit dem Schlüsselwort " | Das CN-Attribut im Zertifikatnamen von Robot Zertifikaten muss mit dem Schlüsselwort " | ||
Zeile 37: | Zeile 45: | ||
Unbedingt beachten: Zwischen Robot und dem folgenden ":" | Unbedingt beachten: Zwischen Robot und dem folgenden ":" | ||
- | 4. Alternativer Zertifikatname | + | (Bestimmungen aus DFN-PKI Grid CPS 3.1.2c) |
+ | |||
+ | ===Alternativer Zertifikatname=== | ||
Robot Zertifikate müssen immer mindestens einen alternativen Zertifikatnamen (SubjectAlternativeName, | Robot Zertifikate müssen immer mindestens einen alternativen Zertifikatnamen (SubjectAlternativeName, | ||
In der DFN-PKI kann der SaN vom Typ '' | In der DFN-PKI kann der SaN vom Typ '' | ||
- | 5. Zertifikatnutzung (DFN-PKI Grid CP 4.5.1) und Betrieb der automatisierten Komponente | + | (Bestimmungen aus DFN-PKI Grid CPS 7.1.2) |
- | Auf E-Mails an die im Robot Zertifikat enthaltenen E-Mail-Adressen muss innerhalb eines Werktages reagiert werden. Computersysteme, | + | |
+ | ===Zertifikatnutzung und Betrieb=== | ||
+ | * Auf E-Mails an die im Robot Zertifikat enthaltenen E-Mail-Adressen muss innerhalb eines Werktages reagiert werden. | ||
+ | |||
+ | * Computersysteme, | ||
+ | |||
+ | * Diese Computersysteme müssen in einem gesicherten Raum mit Zugangskontrolle untergebracht sein. Zugang darf nur autorisiertem Personal gewährt werden. | ||
+ | |||
+ | (Bestimmungen aus DFN-PKI Grid CP 4.5.1 und DFN-PKI Grid CPS 7.1.2) | ||
- | ====2. Muss für Robot Zertifikate ein spezielles Profil gewählt werden?==== | + | ====Muss für Robot Zertifikate ein spezielles Profil gewählt werden?==== |
Für Robot Zertifikate muss vom Zertifikatnehmer bzw. von der RA das Zertifikatprofil " | Für Robot Zertifikate muss vom Zertifikatnehmer bzw. von der RA das Zertifikatprofil " | ||