Neuer Antragsweg für die Beantragung von Server-Zertifikaten
Der DFN-Verein hat vor einiger Zeit angekündigt, dass sich die Verwaltung von Zertifikaten ab 2023 ändert. TCS (Trusted Certificate Service) ist zukünftig ein PKI-Angebot, das der DFN-Verein über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist die Firma Sectigo. Eine Überblick über den Dienst von GÉANT findet sich unter: https://security.geant.org/trusted-certificate-services/
Der DFN-Verein führt das Angebot zur Zeit für alle Teilnehmer der DFN-PKI ein. TCS wird die bisherige DFN-PKI „Global“ mittelfristig ablösen.
Nutzerzertifikate werden noch bis MItte 2023 wie bisher über das DFN beantragt, Server-Zertifikate sind bereits ab dem 01.01.2023 nur noch über Sectigo zu beantragen.
Die RZ-Website zum Thema Zertifikate wird grundlegend überarbeitet, wenn alle Zertifikatsarten auf Sectigo umgestellt wurden.
Die "hausinterne" Umstellung der Zertfikate für Webserver und das Content Management System ist inzwischen weitgehend erfolgt. Hier wurde eine Automatisierung via ACME eingerichtet. Einzelne Zertfikate werden nun für einzelnen Subdomains bezogen. Für bestimmte Bereiche kann eine Delegation erfolgen, so dass entsprechende Admins in Teilbereichen (Subdomains, wie beispielsweise schon für die TF/Informatik erfolgt) komplett eigenständig Zertifikate ausstellen können. Diese Admins erhalten ACME Credentials (eab-keyid, eab-Passwort - External Account Binding (eab). Die Domänen werden über Domain Validation zugewiesen (im Zuge der ACME-Umstellung der Webserver ist alles unter uni-freiburg.de ist schon “beglaubigt”). Es ist weiterhin möglich einzelne Serverzertifikate zu generieren. Das geht mit einem Mitarbeiter-Account und ist auf der RZ-Homepage erklärt.
Externe Domänen müssen das Domain Control Validation (DCV) Verfahren durchlaufen, wobei dann eine Re-Validierung mittels Email oder CNAME Eintrag (jährlich) erfolgen muss. Für die Emails gibts eine Einschränkung auf die Adressen zulässig: hostmaster@ postmaster@ administrator@ webmaster@. Eine weitere Möglichkeit ist die Validierung via HTTP / HTTPS. Hier muss eine von Sectigo vorgegebene Datei unter einer bestimmten URL abgelegt werden.
Serverzertifikate werden neben den Webservern auch für weitere Dienste, die auf TLS setzen, wichtig. Die Überlegungen für das Vorgehen hier unterliegen den geplanten Entwicklungen zur Verbesserung der IT-Sicherheit am Campus. Auch wenn die Universität Freiburg bisher vom Typ der Angriffe der jüngsten Zeit auf Hochschultypen aller Art verschont geblieben ist, benötigt dieses Thema deutlich mehr Aufmerksamkeit und Prävention. Dabei wird sowohl das Rechenzentrum eine Reihe von Maßnahmen ergreifen als auch Aktivitäten auf dem Campus in Zusammenarbeit mit der Informationssicherheit werden notwendig. Für die Strukturierung dieser Maßnahmen bildet die erfolgreiche ISO-27001 Zertifizierung, wofür im 3. Quartal eine Erneuerung des Zertifikats ansteht, eine gute Richtschnur. Wichtig bei den Betrachtungen ist, dass IT-Sicherheit nicht nur den Schutz von Daten sondern auch die Verfügbarkeit von Diensten berücksichtigt.
Das Ziel ist die klarere Abschottung des Campusnetezes durch Netzwerksegmentierung und Einrichtung einer DMZ. Zukünftige Service-Dienste für externe Nutzung können nur noch in der DMZ bereitgestellt werden. Serverzertifikate auch für die interne Nutzung zwischen Maschinen auf dem Campus können durch die zuständigen Serveradministratoren durch Antrag auf die Nutzung von ACME selbst erstellt werden. Eine schriftliche Bestätigung für die Zertifkatsbestellung ist nicht mehr notwendig.
Das Rechenzentrum dokumentiert vorerst weiterhin den Umgang mit einzelnen Serverzertifikaten auf seiner Homepage. Generell sollte man aber den Weg der Automatisierung wählen, um nicht regelmäßig von ablaufenden Zertifikaten überrascht zu werden. Eine Anleitung, wie dies mithilfe sogenannter "ACME-Clients"durchgeführt werden kann, finden Sie in unserem Wiki unter:
https://www.wiki.uni-freiburg.de/rz/doku.php?id=zertifikate_installieren_mit_acme-clients sowie im Admin-Forum.
Externe Domänen müssen das Domain Control Validation (DCV) Verfahren durchlaufen, wobei dann eine Re-Validierung mittels Email oder CNAME Eintrag (jährlich) erfolgen muss. Für die Emails gibts eine Einschränkung auf die Adressen zulässig: hostmaster@ postmaster@ administrator@ webmaster@. Eine weitere Möglichkeit ist die Validierung via HTTP / HTTPS. Hier muss eine von Sectigo vorgegebene Datei unter einer bestimmten URL abgelegt werden.
Serverzertifikate werden neben den Webservern auch für weitere Dienste, die auf TLS setzen, wichtig. Die Überlegungen für das Vorgehen hier unterliegen den geplanten Entwicklungen zur Verbesserung der IT-Sicherheit am Campus. Auch wenn die Universität Freiburg bisher vom Typ der Angriffe der jüngsten Zeit auf Hochschultypen aller Art verschont geblieben ist, benötigt dieses Thema deutlich mehr Aufmerksamkeit und Prävention. Dabei wird sowohl das Rechenzentrum eine Reihe von Maßnahmen ergreifen als auch Aktivitäten auf dem Campus in Zusammenarbeit mit der Informationssicherheit werden notwendig. Für die Strukturierung dieser Maßnahmen bildet die erfolgreiche ISO-27001 Zertifizierung, wofür im 3. Quartal eine Erneuerung des Zertifikats ansteht, eine gute Richtschnur. Wichtig bei den Betrachtungen ist, dass IT-Sicherheit nicht nur den Schutz von Daten sondern auch die Verfügbarkeit von Diensten berücksichtigt.
Das Ziel ist die klarere Abschottung des Campusnetezes durch Netzwerksegmentierung und Einrichtung einer DMZ. Zukünftige Service-Dienste für externe Nutzung können nur noch in der DMZ bereitgestellt werden. Serverzertifikate auch für die interne Nutzung zwischen Maschinen auf dem Campus können durch die zuständigen Serveradministratoren durch Antrag auf die Nutzung von ACME selbst erstellt werden. Eine schriftliche Bestätigung für die Zertifkatsbestellung ist nicht mehr notwendig.
Das Rechenzentrum dokumentiert vorerst weiterhin den Umgang mit einzelnen Serverzertifikaten auf seiner Homepage. Generell sollte man aber den Weg der Automatisierung wählen, um nicht regelmäßig von ablaufenden Zertifikaten überrascht zu werden. Eine Anleitung, wie dies mithilfe sogenannter "ACME-Clients"durchgeführt werden kann, finden Sie in unserem Wiki unter:
https://www.wiki.uni-freiburg.de/rz/doku.php?id=zertifikate_installieren_mit_acme-clients sowie im Admin-Forum.