Hierarchie und Zertifikate der CAs

Das Rechenzentrum hat für verschiedene Anwendungszwecke mehrere CAs, die durch das DFN betrieben werden. Die CAs sind meist in Hierarchien verankert. Vorteil einer solchen Hierarchie ist, dass man grundsätzlich nur dem Wurzelzertifikat (hier: Telekom) vertrauen muss (wie es im Fall des Telekom-Root-Zertifikats bei den üblichen Betriebssystemen und Anwendungen automatisch gegeben ist). Die von untergeordneten CAs ausgestellten Zertifikate werden dann automatisch akzeptiert.

Normalerweise ist für Endnutzer ein Download von CA-Zertifikaten nicht notwendig. Für Sonderfälle und für Administratoren sind im Folgenden die CA-Zertifikate verlinkt und deren Fingerprints zwecks Prüfung angegeben (Schnell-Download siehe rechts).

CA FÜR NORMALE NUTZER- UND SERVERZERTIFIKATE (LUH-CA G2)

Für normale Nutzer- und Serverzertifikate, die von den meisten Betriebssystemen und Anwendungen direkt geprüft und verstanden werden können, betreibt das Rechenzentrum die LUH-CA in der DFN-Global-2-Hierarchie.

  • Wurzel-CA "T-TeleSec GlobalRoot Class 2": DER (Windows) oder PEM (Linux)
    SHA1 Fingerprint=85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
    SHA256 Fingerprint=91:E2:F5:78:8D:58:10:EB:A7:BA:58:73:7D:E1:54:8A \
      :8E:CA:CD:01:45:98:BC:0B:14:3E:04:1B:17:05:25:52
  • Zwischen-CA "DFN-Verein Certification Authority 2": DER (Windows) oder PEM (Linux)
    SHA1 Fingerprint=E2:24:BE:F6:D7:86:22:0D:26:2B:B8:07:AB:6D:AC:F9:D3:A8:9A:93
    SHA256 Fingerprint=F6:60:B0:C2:56:48:1C:B2:BF:C6:76:61:C1:EA:8F:EE \
      :E3:95:B7:14:1B:CA:C3:6C:36:E0:4D:08:CD:9E:15:82
  • CA "DFN-Verein Global Issuing CA": DER (Windows) oder PEM (Linux)
    SHA1 Fingerprint=C9:DC:B0:47:AC:8C:5F:09:05:ED:77:52:8C:BD:4B:84:D9:46:3C:45
    SHA256 Fingerprint=12:57:AA:C2:F4:EE:AC:6C:A4:94:2C:2C:83:F0:B6:7B \
      :41:A3:B4:71:20:C4:D5:34:29:92:95:13:AC:AD:46:8C

Für spezielle Zwecke: Zertifikatskette (PEM-Format)

ANDERE ZERTIFIKATE UND RÜCKRUFLISTEN

Ältere CA-Zertifikate sowie ausgestellte Nutzer- und Serverzertifikate finden Sie auf den PKI-Seiten des DFN:

Zudem können Sie für den Download in verschiedenen Formaten sowie von täglich aktualisierten Rückruflisten unsere recht technische Zusammenstellung nutzen. Diese ist auch für die Verwendung in Skripten z.B. zur CRL-Aktualisierung gedacht.