1. Hauptnavigation
  2. Navigation des Hauptbereiches
  3. Inhalt der Seite

2. Generation der DFN-PKI

Einführung der DFN-PKI der 2. Generation

Das in Betriebssystemen, Browsern und E-Mail-Programmen hinterlegte Wurzelzertifikat "Deutsche Telekom Root CA 2" verliert nach 20 Jahren Laufzeit zum 9. Juli 2019 systembedingt seine Gültigkeit. Alle auf diesem Zertifikat basierenden kryptografischen Vertrauensstellungen (siehe X.509-Standard) zu Webseiten oder E-Mail-Nutzern können nach diesem Datum nicht mehr verifiziert werden.

Das betrifft die gesamte von DFN betriebene Publik Key Infrastruktur (DFN-PKI), also auch alle durch das Rechenzentrum ausgegebenen Server- und Nutzerzertifikate.

Als Ersatz wurde die 2. Generation der DFN-PKI aufgebaut, welche auf dem bis zum 1. Oktober 2033 gültigem Wurzelzertifikat "T-TeleSec GlobalRoot Class 2" basiert. Auch dieses neue Wurzelzertifikat ist in den Zertifikatsspeichern von aktuellen Betriebssystemen, Browsern und eMail-Programmen hinterlegt (mit der Ausnahme von Android 4.4 und frühere Versionen).

Umstellung der Zertifikate

Für alle Besitzer von Server- oder Nutzerzertifikaten der 1. Generation an der HTW wird es notwendig, bis zu dem genannten Datum alle Zertifikate durch neue Zertifikate der 2. Generation zu ersetzen. Das Vorgehen entspricht dabei dem Verlängern eines Zertifikates. Beachten Sie daher bitte die Hinweise zur Verlängerung eines Nutzerzertifikates bzw. zur Verlängerung eines Serverzertifikates.

Eigenschaften eines Zertifikates der 1. Generation unter Windows

Eigenschaften eines Zertifikates der 1. Generation unter Windows

Um die Generation eines ausgestellten Zertifikates herauszufinden, muss in der Zertifikatsverwaltung der Aussteller (engl. Issuer) des Zertifikates betrachtet werden (siehe u.a. Nutzerzertifikate exportieren). Lautet der Aussteller "DFN-Verein Global Issuing CA", ist es bereits ein Zertifikat der 2. Generation. Lautet der Aussteller "HTW-Dresden CA - G02", so muss das Zertifikat durch eins der 2. Generation ersetzt werden.

Änderungen an der Zertifikatskette

Mit der Einführung der 2. Generation verzichtet das DFN auf den Betrieb einer eigenen Zertifizierungsstelle (Certificate Authority, abgekürzt "CA") für jede Hochschule. Die Zertifizierungsstelle "HTW-Dresden CA - G02" wird durch die für nahezu alle Hochschulen verwendete CA "DFN-Verein Global Issuing CA" ersetzt, deren Zwischenzertifikat bis zum 22. Februar 2031 gültig ist. Eine Zertifikatskette der DFN PKI 2. Generation sieht dann folgendermaßen aus:

  1. Nutzer oder Serverzertifikat, erbt Vertrauensstellung von
  2. "DFN-Verein Global Issuing CA", erbt Vertrauensstellung von
  3. "DFN-Verein Certification Authority 2", erbt Vertrauensstellung von
  4. "T-TeleSec GlobalRoot Class 2", Vertrauensstellung durch Systemintegration
Aktualisiert: 16.08.2018  |  Autor: Service RZ