Deutschsprachige CAcert Support Liste

[Bernhard Froehlich <ted AT convey.de>]

Michael Vogel schrieb:
> Hi!
>
> Ist es eigentlich möglich, Zertifikate von CACert zusätzlich zu signieren?
>
> Es geht mir um Folgendes: Wir diskutieren bei uns immer wieder darum,
> eine eigene CA aufzubauen, um Mitgliedern einen Schlüssel für S/MIME zur
> Verfügung zu stellen, um festzustellen, dass sie Mitglied sind und was
> auch immer.
>
> Da CACert schon die dafür notwendige Infrastruktur zur Verfügung stellt,
> wäre es ja sinnvoll, diese zu nutzen. Um jetzt aber Mitglieder von
> "normalen" CACert-Nutzern zu unterscheiden, müsste ja der Schlüssel
> irgendwie zusätzlich signiert werden (und bei einem Austritt müsste die
> Unterschrift zurückgezogen werden)
>
> Ist sowas überhaupt möglich? Oder gäbe es andere Möglichkeiten?
>   

Im Prinzip kann man das mit Organisations-Assurance machen wenn ihr 
irgendwo eingetragen seid (z.B. Vereinsregister?). Da kann man dann 
Client-Zertifikate ausstellen, die den Organisationsnamen enthalten, und 
auf den kann dann beim Login geprüft werden. Die können auch unabhängig 
voneinander revoked werden, so dass (korrekte OCSP- bzw. CRL-Prüfung 
vorausgesetzt) die Leute dann auch nicht mehr rein dürfen.

Es gibt zwei Probleme, zum einen muss man eine Organisations Assurance 
durchführen. Wenn ihr ein e.V. seid oder im Handelsregister eingetragen 
oder sowas, dann ist das ein kleineres Problem, siehe 
http://wiki.cacert.org/OrganisationAssurance/Overview.

Das zweite Problem ist, dass die Prozedur zum Ausstellen von 
Org-Client-Zertifikaten genauso läuft wie die von normalen 
Client-Zertifikaten, d.h. der OrgAdmin generiert Private Key und 
Zertifikat in seinem Browser, muss das als *.p12 exportieren und der 
"Antragsteller" muss es dann importieren. Für höhere 
Sicherheitsanforderungen ist das ein Problem da der OrgAdmin damit 
Zugriff auf den Private Key hat. Die Vorgehensweise mit einem Signing 
Request (CSR), wie bei den Server-Zertifiakten, wäre an dieser Stelle 
zumindest als Alternative sinnvoll, muss aber erst implementiert werden.
Aber, laut CCA sollten CAcert-Zertifikate ja eh nicht für hohe 
Sicherheitsanforderungen verwendet werden... :-\

Wenn diese beiden Probleme für euch lösbar/aktzeptabel sind dann wäre 
das wohl eine Lösung für euch.

MfG
Ted
;)

--
PGP Public Key Information
Download complete Key from http://www.convey.de/ted/tedkey_convey.asc
Key fingerprint = 31B0 E029 BCF9 6605 DAC1  B2E1 0CC8 70F4 7AFB 8D26

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature