horstbox.org

PKI

horstbox.org bietet für interne Zwecke eine Public Key Infrastructure (PKI) für X.509-Zertifikate sowie GPG-Schlüssel an.


Stammzertifikate

Zertifikate

Fingerprints

Die Fingerprints sollten zudem über einen weiteren Kanal geprüft werden. Hierzu bitte die CA kontaktieren.


Beantragung

Diese Anleitung bezieht sich auf die Verwendung freier unixoider Betriebssysteme (z.B. Linux, FreeBSD, OpenBSD). Wer meint, Windows, MacOS oder Android dafür nutzen zu wollen, sollte sich dies nochmals genauer überlegen!

X.509 (TLS/SSL)

Der Zertifikatinhaber ist verpflichtet, das erhaltene Zertifikat innerhalb von 14 Tagen auf Korrektheit zu überprüfen. Sind die enthaltenen Daten nicht korrekt, muss das Zertifikat gesperrt werden.

GPG

Ausstellung des Zertifikats bzw. Signatur des Schlüssels

Die Gültigkeit der ausgestellten X.509-Zertifikate beträgt für Personen 2 Jahre, für Server 5 Jahre, für Sub-CAs 10 Jahre.

(¹) Abweichungen sind bei geplanter Namensänderung möglich, sollten jedoch im Vorraus abgesprochen werden.


Nutzungsbedingungen

Sperren/Widerrufen von Zertifikaten

Ausgestellte Zertifikate und unterschriebene GPG-Schlüssel müssen gesperrt/widerrufen werden, sobald die darin enthaltenen Daten ungültig geworden sind oder der private Schlüssel verloren, gestohlen, veröffentlicht oder anderweitig missbraucht worden ist. Tritt ein solcher Fall ein, ist dies umgehend der CA per Mail mitzuteilen. Die CA kann Zertifikate sperren, sofern die Nutzungsbedingungen des Zertifikatinhabers nicht eingehalten wurden.

Ein gesperrtes Zertifikat oder widerrufenes GPG-Schlüsselpaar darf nicht weiter zur Authentifizierung und Signierung benutzt werden.


Kontakt/Impressum

Zertifikatsanträge bitte per Mail an ca \at horstbox.org senden. Die Kontaktdaten der RA werden, sofern notwendig, im weiteren Gespräch weitergegeben.

Weitere Angaben siehe horstbox.org/impressum


Technik

Die X.509-CA wird auf einem Notebook mit LUKS-verschlüsselter Festplatte offline (keine eingebaute WLAN-Karte) und mit eingebauter Stromversorgung (kein Anschluss am Stromnetz, während das Gerät eingeschaltet ist) betrieben. Der Datenaustausch (CSR und ausgestellte Zertifikate) findet über RS232 statt (USB-Datenträger werden nicht verwendet). Das Notebook befindet sich durchgehend in einem besonders gesicherten Raum, zu dem nur der Webmaster Zutritt hat.

Die Signatur von GPG-Schlüsseln erfolgt durch den Webmaster, hier kommen eine GnuPG-Smartcard sowie ein Notebook mit gehärtetem Linux zum Einsatz. Die Smartcard befindet sich immer am Körper des Webmasters.