Logo Cologne Net e.V.

Valid HTML 4.0!

  Home -> Projekte -> Certification Authority -> Howto
CA
Warum
Howto
Keys
Crl
Policy
Software
Links
  

1. Generieren eines eigenen Schlüsselpaares

Wir raten Ihnen, Ihre Schlüssel mit der Version 2.6.3i des Programms PGP zu erzeugen! Die neuere Version 5.0/6.0 ist noch nicht an internationale Belange angepaßt und auch nicht kompatibel mit der bei der IN-CA verwendeten PGP-Version. Sobald die internationale Version 5.0i/6.0i von PGP verfügbar ist und die IN-CA umgestellt wurde, können dann auch PGP 5.0/6.0-Schlüssel zertifiziert werden.
Bemerkung: Wenn die Version 6.0 zum erzeugen des Schlüssels benutzt werden kann, raten wir dazu die Busines-Version des Programms einzusetzen. Die Freeware Version erzeugt nur RSA-Keys bis 1024 Bit. Schlüssel >1024 Bit können nur als DH/DSS-Schlüssel erzeugt werden. Wir raten nicht zu der Nutzung von DH/DSS-Schlüsseln, weil die zugrunde liegenden Algorithmen noch nicht ausgiebig untersucht wurden. Unter anderem sind diese Schlüssel nicht abwärtskompatibel und können somit nicht von der Mehrzahl der jetzigen PGP-Nutzer verifiziert werden.

  • Schlüssel generieren gemäß IN Certification Policy: pgp -kg
    Realname <E-Mail-Adresse gemäß RFC 822> (Optionen)
    Beispiele:
    Jörg Wedekind <jw@cologne.de>
    Jörg Wedekind <jw@cologne.de> (SIGN)
    Norbert Bressem <nb@cologne.de> (ENCR EXPIRE:1999-12-31)
  • Wahlweise können auch zwei Schlüssel erzeugt werden: Ein "SIGN"-Schlüssel, der nur zum signieren von Schlüsseln dient, sowie ein "ENCR"-Schlüssel, mit dem die E-Mails verschlüsselt werden können (die an die IN-CA angepasste Version PGP2.6.3in (Source für Unix- und Windows-Systeme) unterstützt den Umgang mit SIGN-und ENCR-Schlüsseln.
  • Export der öffentlichen Schlüssel in eine Datei:
    pgp -kxa Schlüsselbzeichnung eigenkey.asc
  • Ausgabe (und merken) der Schlüssel-ID und der Fingerprints:
    pgp -kvc Schlüsselbezeichnung
  • Ausfüllen der Zertifizierungsvereinbarung.

2. Zertifizierung

  • Der Antragsteller sendet den/die extrahierten Schlüssel sowie die ausgefüllte Zertifizierungsvereinbarung per E-Mail an die IN-CA.
    Alternativ können Schlüssel und Vereinbarung auch beim persönlichen Kontakt mit dem Repräsentanten der IN-CA per Diskette übergeben werden (bitte die Diskette mit dem Namen beschriften).
  • Die IN-CA überprüft die Schlüssel auf Konformität mit der IN-Zertifizierungspolicy.
  • Bei einem persönlichen Treffen zwischen Antragsteller und dem Repräsentanten der IN-CA (z.B. auf dem Münchner Usertreffen) wird die Identität des Antragstellers anhand Personalausweis oder Reisepaß (andere Dokumente werden nicht akzeptiert!) überprüft. Der Antragsteller unterschreibt in Gegenwart des IN-CA-Repräsentanten die Zertifizierungs- vereinbarung und erhält die aktuellen Fingerprints der Schlüssel der IN-CA und der IN-Root-CA.
  • Kurze Zeit später erhält der Antragsteller ihre - jetzt durch die IN-CA zertifizierten - Schlüssel per E-Mail zurück.

3. Hinzufügen des Zertifikats zum eigenen Schlüssel

  • Der Nutzer kann nun die Signatur der IN-CA dem eigenen Schlüsselbund hinzufügen:
    pgp -ka Dateiname der erhaltenen Datei
  • Die zertifizierten öffentlichen Schlüssel des Anwenders werden auf dem FTP-Server von COLOGNE.DE veröffentlicht, es sei denn der Anwender hat der Veröffentlichung widersprochen. Darüberhinaus werden diese Schlüssel auf einem der synchronisierten Public-Key-Server des IN bereitgestellt.
© Cologne Net e.V. 1999 - webmaster@cologne.de

© 2000 Mail  Vereinsvorstand