HARICA-PKI

Der DFN-Verein stellt über den europäischen Dachverband GÉANT allen teilnehmenden Einrichtungen mit dem Dienst GÉANT Trusted Certificate Services (TCS) eine Public Key Infrastruktur (PKI) bereit, um digitale Zertifikate (Nutzer- und Server-Zertifikate) auszustellen.

GÉANT realisiert diesen Dienst mit Hilfe von externen Anbietern, welche über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist HARICA - Hellenic Academic & Research Institutions Certification Authority.

Art der PKI

Bei dieser PKI handelt es sich um eine im Browser und Betriebssystem verankerte Lösung.

Eine im Browser und Betriebssystem verankerte PKI ist eine Public Key Infrastruktur, deren Wurzel-Zertifikat bereits im Zertifikatsspeicher des Browsers und Betriebssystems hinterlegt ist.

Dadurch werden davon ausgestellte Zertifikate automatisch als vertrauenswürdig eingestuft, ohne, dass Nutzerinnen und Nutzer das Wurzel-Zertifikat manuell installieren müssen.

Verwendung der PKI

Diese PKI sollte bei folgenden Anwendungsfällen verwendet werden:

• Nutzer-Zertifikate:
  • Für die Signierung und Verschlüsselung von E-Mails (S/MIME).
• Server-Zertifikate:
  • Für die Absicherung von Serverdiensten mit Außenkontakt (TLS).
  • Beispiele: Webserver, Mailserver etc.

TIPP

Sollten Sie sich unsicher sein, ob die HARICA-PKI für Ihren Anwendungsfall geeignet ist, kontaktieren Sie bitte die Ansprechpersonen der WHZ-CA.

SIGNIERUNG VON PDF-DATEIEN

Die Signierung von PDF-Dateien mittels S/MIME-Nutzer-Zertifikaten der HARICA-PKI ist nicht gestattet, da die Zertifikate ausschließlich für die oben genannten Anwendungsfälle freigegeben sind.

HARICA ist durch das CA/Browser-Forum verpflichtet, bei den kleinsten Abweichungen in der Nutzung der Zertifikate diese - ohne jede Abwägung - zu sperren.

Diese Verpflichtung hat beispielsweise bei einem anderen Zertifizierungsanbieter im Frühjahr 2024 dazu geführt, dass dieser einer Einrichtung 500 S/MIME-Zertifikate mit einer Vorwarnfrist von effektiv 3 Tagen gesperrt hat, da die Einrichtung die S/MIME-Zertifikate missbräuchlich für VPN genutzt hatte.

Arten von Zertifikaten

HARICA stellt im Rahmen des GÉANT Trusted Certificate Services folgende Arten von Zertifikaten ohne weitere Kosten aus:

Nutzer-Zertifikate

• Nur E-Mail-Adresse-Zertifikate (Nur E-Mail)
• Individuell + Organisations-validierte Zertifikate (IV+OV)

Gruppen-Zertifikate

Gruppen-Zertifikate sind spezielle Nutzer-Zertifikate, welche für eine Gruppe von Personen ausgestellt werden können.

• Nur E-Mail-Adresse-Zertifikate (Nur E-Mail)

Server-Zertifikate

• Organisations-validierte Zertifikate (OV)

Weiterführende Informationen

• Informationen zur HARICA-PKI im Wiki vom DFN-Verein
• Offizielle Webseite von HARICA
• Portal zur Beantragung von Nutzer- und Serverzertifikaten