[Nachträglicher Hinweis: Ab April 2010 lautet die Hausnummer in der Röntgenstraße nicht mehr »9-13«, sondern »7-13«.]
1. Einleitung
Dieses Dokument enthält die Zertifizierungsrichtlinien (Policy) der Zertifizierungsstelle der Westfälischen Wilhelms-Universität Münster (WWUCA).
Die WWUCA bietet eine Zertifizierung mit moderaten Sicherheitsanforderungen an die Zertifizierungsstelle, bei der Ausstellung der Zertifikate und an die Zertifikatnehmer an. Der Sinn dieses Dokumentes ist es, die Einschätzung der durch die WWUCA ausgestellten Zertifikate zu ermöglichen.
2. Identität der WWUCA
Die WWUCA besitzt folgende Adresse:
Westfälische Wilhelms-Universität
Zertifizierungsstelle
Zentrum für Informationsverarbeitung
Röntgenstraße 9-13
D-48149 MünsterTelefon: +49 (251) 83-31590
Telefax: +49 (251) 83-31555
E-Mail: ca@uni-muenster.de
Informationen der WWUCA werden im World Wide Web unter folgenden Adressen veröffentlicht:
http://www.uni-muenster.de/WWUCA/
https://www.uni-muenster.de/WWUCA/
Die WWUCA ist eine Zertifizierungsinstanz (CA) im Rahmen der Zertifizierungshierarchien der Policy Certification Authority (PCA) des Vereins zur Förderung eines Deutschen Forschungsnetzes e. V. (DFN) und übt ihre Tätigkeit im Rahmen folgender Zertifizierungsrichtlinien aus:
Low-Level-Policy der DFN-PCA, jeweils aktuelle Version,
World-Wide-Web-Policy der DFN-PCA, jeweils aktuelle Version.
Ergänzend gelten die in diesem Dokument getroffenen Regelungen. Bei Widersprüchen gilt die jeweilige Regelung der DFN-PCA.
3. Zuständigkeitsbereich der WWUCA
Der Zuständigkeitsbereich der WWUCA umfasst die Einrichtungen der Westfälischen Wilhelms-Universität Münster und deren Angehörige. Die WWUCA darf auch außerhalb ihres Zuständigkeitsbereiches tätig werden.
3.1. Rechtliche Bedeutung
Eine Zertifizierung durch die WWUCA ist keine Zertifizierung im Sinne des Signaturgesetzes. Die WWUCA erhebt nicht den Anspruch, eine Zertifizierungsstelle im Sinne von § 2 Abs. 2 des Signaturgesetzes zu sein.
Ein Anspruch auf die Erteilung eines Zertifikates durch die WWUCA besteht nicht.
Die Westfälische Wilhelms-Universität Münster sowie die Mitarbeiter der WWUCA übernehmen keine Form der Gewährleistung. Alle Aufgaben werden von den WWUCA-Mitarbeitern nach bestem Wissen und Gewissen durchgeführt.
3.2 Einbindung in Zertifizierungshierarchien
Die WWUCA lässt ihre öffentlichen Zertifizierungsschlüssel durch die DFN-PCA zertifizieren, darf die Zertifizierungsschlüssel untergeordneter Zertifizierungsstellen zertifizieren und darf Cross-Zertifizierungen mit anderen Zertifizierungsstellen durchführen. Es gelten die Zertifizierungsrichtlinien der DFN-PCA.
4. Sicherheitsanforderungen
Es gelten die Zertifizierungsrichtlinien der DFN-PCA mit folgenden Ergänzungen:
Die WWUCA verwendet zur Aufbewahrung der geheimen Zertifizierungsschlüssel und des für die Zertifizierung verwendeten Rechners einen Sicherheitsschrank oder Tresor. Die Zugangskombination ist nur den Mitarbeitern der WWUCA bekannt. Teile der Kombination, die einzeln keinen Informationswert besitzen, dürfen für Notfälle bei vertrauenswürdigen Mitarbeitern des Zentrums für Informationsverarbeitung hinterlegt werden (Vier-Augen-Prinzip).
Die WWUCA erzeugt keine asymmetrischen Schlüsselpaare für Endteilnehmer/Nutzer oder andere Zertifizierungsstellen.
Asymmetrische RSA-Schlüsselpaare müssen mindestens eine Länge von 1024 Bits aufweisen.
Bei jedem Verdacht auf einen unbefugten Zugriff auf den Rechner oder auf den geheimen Signierschlüssel einer Registrierungsstelle ist die WWUCA unverzüglich zu benachrichtigen.
5. Zertifizierungsregeln
Es gelten die Zertifizierungsrichtlinien der DFN-PCA mit folgenden Ergänzungen:
Die WWUCA erstellt im Rahmen der Möglichkeiten der jeweils eingesetzten Programme PGP-Signaturen für RSA-Schlüssel gemäß Low-Level-Policy sowie X.509-Zertifikate gemäß World-Wide-Web-Policy. Sie erstellt jedoch keine X.509-Zertifikate für PEM-Schlüssel (Privacy Enhanced Mail) gemäß Low-Level-Policy. Sie beabsichtigt, zu einem späteren Zeitpunkt auch PGP-Signaturen für DSS/DH-Schlüssel gemäß Low-Level-Policy auszustellen. Im Rahmen der technischen Entwicklung können weitere Zertifikatformate angeboten werden.
Jeder Mitarbeiter der WWUCA ist gleichzeitig Registrierungsstelle der WWUCA. Die WWUCA darf weitere vertrauenswürdige Personen als Registrierungsstellen anerkennen, falls diese sich schriftlich zur strikten Einhaltung dieser Policy verpflichten. Die Anerkennung kann jederzeit widerrufen werden.
Für die Zertifizierung untergeordneter Zertifizierungsstellen durch die WWUCA gelten die gleichen Regeln wie für die Zertifizierung der WWUCA durch die DFN-PCA. Für untergeordnete Zertifizierungsstellen gelten die gleichen Sicherheitsanforderungen wie für die WWUCA.
Der Begriff »WWW-Server« umfasst nicht nur HTTP-Server, sondern auch alle anderen Servertypen (POP, IMAP, NNTP usw.), die in gleicher Weise auf Basis von SSL bzw. TLS unter Verwendung von X.509-Zertifikaten abgesichert arbeiten.
6. Management von Zertifikaten
Es gelten die Zertifizierungsrichtlinien der DFN-PCA mit folgenden Ergänzungen:
Die Veröffentlichung von Zertifikaten im DFN-weiten X.500-Verzeichnis wie in der Low-Level-Policy vorgesehen entfällt, da keine X.509v1-Zertifikate gemäß Low-Level-Policy erstellt werden.
Veröffentlichungen zertifizierter PGP-Schlüssel gemäß Low-Level-Policy erfolgen mittels eines im Internet vorhandenen PGP-Key-Servers.
Veröffentlichungen von X.509-Zertifikaten gemäß World-Wide-Web-Policy erfolgen auf den WWW-Seiten der WWUCA.
7. Widerruf von Zertifikaten
Es gelten die Zertifizierungsrichtlinien der DFN-PCA mit folgenden Ergänzungen:
Widerrufslisten für PGP-Zertifikate gemäß Low-Level-Policy und X.509-Zertifikate gemäß World-Wide-Web-Policy werden auf den WWW-Seiten der WWUCA veröffentlicht. Die Listen werden bei Bedarf aktualisiert, mindestens jedoch einmal pro Quartal.
8. Regeln für die Namensgebung
Es gelten die Zertifizierungsrichtlinien der DFN-PCA mit folgenden Ergänzungen:
Die WWUCA benutzt für ihre PGP-Zertifizierungsschlüssel die PGP-Nutzerkennung »Zertifizierungsstelle Universitaet Muenster«, ergänzt um den Gültigkeitsszeitraum des jeweiligen Schlüssels.
Die WWUCA benutzt für Ihre X.509-Zertifikate den Distinguished Name »CN=Zertifizierungsstelle, O=Universitaet Muenster, C=DE«, das CN-Feld ergänzt um den Gültigkeitszeitraum des jeweiligen Schlüssels.
PGP-Nutzerkennungen sollten nach Möglichkeit eine vom Zentrum für Informationsverarbeitung der Universität Münster vergebene E-Mail-Adresse enthalten.
Distinguished Names müssen den Server bzw. die Person eindeutig bezeichnen und folgenden Anforderungen genügen:
Alle Attribute dürfen höchstens einmal verwendet werden.
Das Attribut »C« soll den Wert »DE« enthalten.
Das Attribut »ST« soll entfallen oder den Wert »Nordrhein-Westfalen« enthalten.
Das Attribut »L« soll entfallen oder den Wert »Muenster« enthalten.
Das Attribut »O« soll den Wert »Universitaet Muenster« enthalten.
Das Attribut »OU« soll den Namen der Einrichtung enthalten oder entfallen.
Das Attribut »CN« muss bei SSL-Servern den vollen Rechnernamen des Servers, bei Personen mindestens den vollen Vor- und Nachnamen enthalten.
Das Attribut »Email« sollte nach Möglichkeit eine vom Zentrum für Informationsverarbeitung der Universität Münster vergebene E-Mail-Adresse enthalten.
Aus technischen Gründen sollten für die Attributinhalte nur Buchstaben (keine Umlaute), Ziffern, Leerzeichen und die elf Satzzeichen »'()+,-./:=?« verwendet werden, in der E-Mail-Adresse auch das Zeichen »@«.
Die PGP-Nutzerkennungen und Distinguished Names sollten weitergehende Angaben nur dann enthalten, wenn dies aus technischen Gründen oder zur Herstellung der Eindeutigkeit erforderlich ist oder wenn deren Überprüfung der WWUCA keinen zusätzlichen Aufwand verursacht.
9. Verschiedenes
Die WWUCA arbeitet mit eingeschränkter Verfügbarkeit abhängig von den Dienstzeiten ihres Mitarbeiters bzw. ihrer Mitarbeiter. Urlaubs- und krankheitsbedingte Betriebsunterbrechungen sind möglich; Nachrichten werden dann vom Zentrum für Informationsverarbeitung der Universität Münster entgegengenommen.
Diese Policy tritt am 03.01.2002 in Kraft und ersetzt die Policy vom 21.11.2000.
Münster, den 03.01.2002
Rainer Perske
(Leitender Mitarbeiter der WWUCA)
Dr. W. Held
(Leiter des Zentrums für Informationsverarbeitung)
