Tags:
create new tag
, view all tags

ETH Public Key Infrastructure (PKI)

Beteiligte Personen

  • Dieter Hennig
  • Matteo Corti
  • Swen Vermeul

Ausgangslage

The goal of the project is for the ETH to act as a certification authority and generate personal certificates for its members.

wie eine PKI funktioniert

  1. ein Privater Schlüssel (secret key) und öffentlicher Schlüssel (public key) wird für ein Konto generiert
  2. ein «Certificate Signing Request» (CSR) wird generiert unter Verwendung der Public-Keys und einer ETH-spezifischen Konfigurationsdatei
  3. die CSR wird an eine Applikation der Zertifizierungsstelle (CA) geschickt (Dieter)
  4. die Zertifizierungsstelle (CA) generiert eine öffentliches, signiertes Zertifikat (CRT) und schickt dieses zurück
  5. Mit diesem CRT können folgende Aktionen erfolgen
    • Generierung eines PKCS #12-Schlüssels (CRT+secret key)
    • Download des PKCS #12-Schlüssels (z.B. für den Import in Thunderbird)
    • schreiben des CRT ins Active Directory (Attribut userCertificate?)

Allgemeine Überlegungen

  • die privaten Schlüssel bleiben zwecks rechtlicher und organisatorischer Überlegungen in nethz gespeichert
  • OU-Admins sollten keine Private Keys im AD speichern

Phase 1

  • Zertifikat per Skript generieren
  • technische Realisierbarkeit prüfen

Phase 2

  • generierung von privaten und öffentlichen Schlüsseln für alle ID-Mitarbeiter
  • Speicherung des CRT im Active Directory
  • ev. Speicherung des Privaten Schlüssels im Active Directory

Glossar

CA
Certificate Authority, Zertifizierungsstelle.
CSR
Certificate Signing Request. Meldung, welche an eine CA gesendet wird, z.B. um einen öffentlichen Schlüssel zu signieren
CRT
Zertifikat.
PKI
Public-Key-Infrastruktur
PKCS #12
PKCS steht für Public Key Cryptography Standards. #12 definiert ein Dateiformat für private Schlüssel. Weitere Infos

Links

-- MatteoCorti - 2011-03-30

Topic revision: r5 - 2011-08-31 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback