Direkt zu
Suche Rechenzentrum
 
Benutzerkennung abfragen
Kursangebot RZ
Passwort ändern/testen
PrintCard
  
Rechneranmeldeformular
Telefonnummern uni-intern suchen
SOGo-Groupware, Web-Mail
VPN alternativ VPN-e
 
  
 
Rechenzentrum
Home
Kontakt
IT-Helpdesk/Beratung
Rechenzentrum von A-Z
Jobangebote
 
Impressum
 
 

Überprüfung eines Zertifikats auf Echtheit und Gültigkeit

Alle Zertifikate lassen sich auf Gültigkeit und Echtheit prüfen. Im folgenden Beispiel dient das Zertifikat des Webmail-Servers des Rechenzentrums, das von der UNIOS-CA ausgestellt wurde, als Basis für die Überprüfung.

Überprüfung des Gültigkeitzeitraums

Um den Gültigkeitszeitraum des Zertifikats des Webmail-Servers festzustellen, wird die Webmailschnittstelle des Rechenzentrums aufgerufen.

Hier ist auf das unten gekennzeichnete Symbol in der Statusleiste des Browserfensters zu klicken.

Es erscheint das Dialogfenster Zertifikat. Auf der Karteikarte Allgemein ist der Gültigkeitszeitraum des Webmail-Zertifikates angegeben.

Überprüfung des Fingerabdrucks

Auf der Karteikarte Details wird das Feld Fingerabdruck markiert. Im unteren Fensterteil erscheint der komplette Fingerabdruck (Fingerprint) des Server-Zertifikats. Er kann jetzt mit dem Fingerabdruck in der veröffentlichten Liste auf Übereinstimmung verglichen werden.

Auf der Registerleiste Zertifizierungspfad lässt sich die Zertifizierungshierarchie der beteiligten Zertifizierungsinstanzen nachvollziehen.

Überprüfung auf Widerruf

Zertifizierungsstellen müssen in regelmäßigen Abständen Listen der zurückgerufenen Zertifikate (Certification Revocation Lists) veröffentlichen. Die DFN-PKI aktualisiert diese Liste monatlich. Jedes Zertifikat hat eine Seriennummer. Taucht diese Seriennummer in der Liste der gesperrten Zertifikate auf, so ist es ungültig. Im Folgenden wird am Beispiel des Server-Zertifikats des Webmail-Servers gezeigt, wo die Seriennummer zu finden ist. Anschließend wird in der Liste der gesperrten Zertifikate (CRL) nachgesehen, ob die Seriennummer dort auftaucht.

Manuelle Überprüfung

Auf der Karteikarte Details kann im Feld Seriennummer die Seriennummer des Server-Zertifikats abgelesen werden.

Die Liste der zurückgerufenen Zertifikate des Rechenzentrums kann unter dem Link Zertifikatswiderrufsliste der UNIOS-CA abgerufen werden.

Es erscheint das Fenster Dateidownload. Hier ist auf die Schaltfläche Öffnen zu klicken.

Nun öffnet sich das Dialogfenster Zertifikatssperrliste. Nach Auswahl der Karteikarte Sperrliste werden die Seriennummern der für ungültig erklärten Zertifikate angezeigt. Die Seriennummer des Webmail-Server-Zertifikats (hier: 0b 18 8a f0) ist nicht in der Liste. Dies bedeutet, dass das Server-Zertifikat nicht von der Zertifizierungsstelle zurückgerufen wurde.

Automatische Überprüfung

Die Überprüfung, ob ein Zertifikat in der Zertifikats-Sperrliste auftaucht, lässt sich abhängig vom verwendeten Betriebssystem und Browser automatisieren. Im folgenden Beispiel wird angenommen, dass die Prüfung auf einem Windows XP Rechner mit dem Internet Explorer Version 6 stattfindet. Es müssen folgende Einstellungen im Browser getroffen werden:

Im Internet Explorer wird der Menüpunkt Extras -> Internetoptionen aufgerufen und dort die Karteikarte Erweitert selektiert. Hier ist im Fenster Einstellungen unter der Rubrik Sicherheit ein Häkchen vor Auf zurückgezogene Serverzertifikate überprüfen (Neustart erforderlich) zu setzen. Wird nun eine URL ausgewählt, die über ein Zertifikat des Rechenzentrums verfügt (Beispiel: Web-Mail) überprüft der Browser jetzt automatisch, ob das Zertifikat in der Sperrliste vorhanden ist. Ist dies der Fall erscheint ein Warnhinweis.
 
Home     Zum Seitenanfang
Universität Osnabrück, Rechenzentrum, Disclaimer, E-Mail: WWW Admin