Die Authentizität von Diensten (und Personen) kann und sollte in vielen Fällen durch die Verwendung von elektronischen Zertifikaten - also elektronisch signierte Identitätsbestätigungen - sichergestellt werden. Eine Reihe von Diensten am IBR - darunter der HTTPS-Webserver, der Mailserver (SMTP/STARTTLS und IMAP/SSL), der OpenVPN Server, der LDAP/SSL-Server, u.v.m. - nutzen solche Zertifikate, die von Clients verwendet werden können um sicherzustellen, dass sie tatsächlich mit den "echten" Servern kommunizieren.
Seit 2009 nutzen die IBR-Dienste Zeritifkate, die durch das GITZ im Rahmen einer DFN-PKI ausgestellt werden und auf einer Vertrauenskette zu einem sehr gut etablierten Root-Zertifikat basieren.
Weitere Zertifikate für dienstliche Projekte können über Frank (DV-Koordinator für das GITZ) beantragt werden. Es ist zu beachten, dass z.Zt. nur Dienste-Zertifikate und keine Personen-Zertifikate ausgestellt werden.
Es werden für uns von der DFN-CA nur Zertifikate in der Domain *.ibr.cs.tu-bs.de ausgestellt. Umgekehrt erlaubt die gesamte Domain der TU Braunschweig *.tu-bs.de (mittels eines CAA-RR und auch per Policy) keine Zertifikate anderer Herkunft (also auch nicht LetsEncrypt).
Wichtig ist die sehr sensible Behandlung der Keys. Dazu haben wir uns mit Nutzung der DFN-PKI verpflichtet. Wenn Mitarbeiter ein Zertifikat nebst Key erhalten haben, sollten sie sich einmal genau Gedanken darüber machen, wer wirklich Zugriff auf den Key haben muss: Wer hat root- oder sudo-Rechte auf dem Host? Sind Studierende darunter? Was passiert, wenn Beteiligte ausscheiden? Bitte speichert den Key nicht an unnötigen Stellen: kein Backup! Löschen nicht per Trashcan! Wenn der Key abhanden kommen sollte, könnt ihr in immer noch von Frank erhalten. Sollte der Verdacht bestehen, ein Key könnte ich falsche Hände gelangt sein, bitte sofort Frank informieren.
Die Zertifikatskette bis zum Root-Zertifikat ist hier:
https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt