GRID-Zertifikate
Bitte beachten Sie: Angehörige der LMU wenden sich bitte an dfn-lmu-ra@lists.physik.uni-muenchen.de
GRID-Zertifikate sind entweder Server- oder persönliche Zertifikate, die aber zu einer separaten Infrastruktur gehören. Sie besitzen die Schlüsselzwecke
- digitalSignature
- keyEncipherment
und die erweiterten Schlüsselzwecke
- clientAuth
- emailProtection
Es sind die einzigen persönlichen Zertifikate, die das LRZ auch für Nicht-BAdW-Angehörige ausstellen kann (und darf).
Der Namensraum sieht so aus:
- C=DE
- O=GridGermany
- Die OU hängt ab von der Einrichtung, der Sie angehören: Leibniz Rechenzentrum, Technische Universitaet Muenchen oder Ludwig-Maximilians-Universitaet Muenchen. Eine weitere OU für Lehrstuhl / Fakultät ist möglich.
- Der CN ist Ihr Vor- und Nachname bei persönlichen Zertifikaten bzw. der Rechnername bei Serverzertifikaten.
Hinweis: Für GRID gibt es weder Gruppen- noch Pseudonymzertifikate. Robot-Zertifikate sind allerdings möglich. D.h. die Attribute "pseudonym", "GN" und "SN" sind im SubjectDN nicht erlaubt. Der CN darf nicht mit "GRP:", "GRP -", "PN:" oder "PN -" beginnen. Der CN darf aber mit "Robot:" oder "Robot -" beginnen.
Beantragt wird ein GRID-Zertifikat über diese URL: https://pki.pca.dfn.de/dfn-pki/grid-root-ca/101
Die Seite Serverzertifikat beantragen sieht dann beispielsweise so aus:
Nach dem Ausfüllen kommen Sie mit Weiter zu dieser Seite:
Wenn Sie auf Antragsdatei speichern klicken, werden Sie noch nach einem Paßwort gefragt:
Näheres zum Thema finden Sie auch hier: https://www.lrz.de/services/compute/grid_en/certificate_en/person-certificate_en/
in den Richtlinien des DFN-CERT: https://www.pki.dfn.de/fileadmin/PKI/DFN-PKI_grid-cps_v16.pdf
sowie auf der GRID-Seite des DFN-Vereins: https://www.pki.dfn.de/grid/ und https://www.pki.dfn.de/faqpki/faqpki-grid/
Bitte bachten Sie auch, daß GRID-Zertifikate nicht zum Signieren Ihrer normalen dienstlichen E-Mails verwendet werden können. Rein technisch ist das zwar rmöglich, in allgemeinen wird der Empfänger die Signatur jedoch nicht als gültig anzeigen, da das GRID-root-Zertifikat im Browser / Mailclient nicht vorhanden ist und damit auch nicht validiert werden kann.
Zuletzt aktualisiert am 27.10.2022