Skip to Content.
Sympa Menu

cacert-de - Re: Client-Zertifikate f. RK-Dienstplan : Vollmacht benötigt?

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Client-Zertifikate f. RK-Dienstplan : Vollmacht benötigt?


Chronological Thread 
  • From: Markus Warg <cacert AT quarkus.de>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: Client-Zertifikate f. RK-Dienstplan : Vollmacht benötigt?
  • Date: Wed, 24 Feb 2010 12:50:46 +0100

Hallo,


also die Limitierung für die Certs hatte ich erst mal nur so verstanden,
dass man sich damit nicht bei CACert anmelden kann (das kann man bei
CACert pro Zertifikat angeben).

Im Prinzip meldest Du Dich ja bei irgendeinem Dienst an und aktivierst
dann dort ein Zertifikat. Einige Dienste (RIPE) generieren eigene Certs
und akzeptieren auch nur diese self signed Dinger (IMHO).

Bei anderen kann man Certs bestimmter CAs anmelden. Aber es gibt IMHO
keinen Dienst wo man unbekannterweise einfach so mit dem Cert reinkommt.


bis dann,

Markus


Am 24.02.2010 12:33, schrieb Florian Lagg:
>> Hallo Florian,
> Hallo, 
> 
> danke erst mal für die Antwort.
> 
>> melde die Domain in Deinem CACert Account an, ggf. sprich das mit den
>> Offiziellen ab. Mailping geht an eine Mailadresse, die Du ggf. schon
>> bekommst (Admin-C), ansonsten soll jemand (Owner) auf den Mailping
>> antworten und die Domain ist damit in Deinem Account aktiviert.
> 
> Ok, das ist mal kein Problem. Schließlich verwalte ich die Domain und
> bekomme auch die postmaster/webmaster-Adressen.
> 
>> Danach kannst Du Zertifikate bauen und signieren lassen. Wie das geht
>> weisst Du sicherlich, wenn nicht da gibts eine Menge Artikel zu im Netz
>> oder frag mich noch mal.
> 
> Is klar.
> 
>> Bei den Client Zertifikaten sieht es anders aus, da Du die nur für
>> Mailadressen erstellen kannst, die Du in Deinem Account aktiviert hast
>> (bzw in anderen Accounts aktiviert sind).
>>
>> Also entweder jeder macht sich einen Account und ihr Assured Euch
>> untereinander so dass alle mehr als 50 Punkte haben. 
> 
> Das dürfte hier nicht machbar sein. Wir sprechen hier von einer Gruppe
> ehrenamtlicher Mitarbeiter die mit Zertifikaten größtenteils nichts zu tun
> haben wollen. Zwangsbeglücken will und kann ich die nicht.
> 
>> Alternativ dazu
>> wäre die Org Assurance. Ob man einfach Mailadressen bei sich eintragen
>> sollte (alle in Deinem Account und dann die Leute die Mailpings
>> beantworten lassen) weiss ich nicht. Organisatorisch und
>> sicherheitstechnisch sicherlich nicht 1. Wahl da Du alles verwalten
>> musst (SPOF) und Du auch alle Zertifikate incl der Keys hast (ebenfalls
>> SPOF).
> 
> Ja, SPOF ist sicherlich ein Argument.
> Ich denke einfach dass eine Org.Assurance ein Monster für diesen Zweck ist.
> Der Aufwand steht wohl nicht dafür.
> Ich habe mir auch schon überlegt die Surfstation mit einem Selbst-signierten
> Zertifikat auszustatten und den Usern einfach User/Passwort zu geben (Das
> brauchen Sie sowieso wenn sie nicht an Ihrem Rechner sind). 
> 
>> Du gibst bei den Zertifikaten (insbesondere bei dem Public Cert)
>> natürlich an, dass es nicht für Logins auf cacert.org benutzt werden
>> darf. Dann kann da eigentlich nichts passieren. Du solltest evtl
>> verhindern, dass das Zertifikat exportiert werden darf (wenn das geht).
> 
> Letzteres geht definitiv und hätte ich auch gemacht, bei ersterem (Login nur
> auf Seite XY) bin ich mir nicht sicher.
> Wie kann man das bewerkstelligen?
> 
>> bis dann,
>>
>> Markus
> 
> Dankeschön, LG
> 

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page