Betrieb der KIT-CA ohne direkten Kontakt und Hauspost

Ohne Präsenz am KIT ist nur ein eingeschränkter Betrieb der KIT-CA möglich, da persönliche Identifizierungen nicht möglich sind und kein Zugriff auf die (Haus-)post besteht.

Beides sind essentielle Bestandteile unserer Abläufe, die wir auch im Krisenfall nicht weglassen dürfen.

Nutzerzertifikat verlängern

Ohne persönliche Identifizierungen können keine Nutzerzertifikate ausgestellt werden.

Für Benutzer, die ein noch gültiges Nutzerzertifkat besitzen, ist hier ein Ersatzverfahren beschrieben.

Ohne gültiges Nutzerzertifkat müssen Sie mögliche Alternativen in Betracht ziehen.

Zertifikat für Server/Gruppe/Pseudonym beantragen

FAQ

Warum lockert die KIT-CA im Krisenfall ihre Anforderungen nicht?

Die zentrale Anforderung an eine global vertraute Zertifizierungsstelle ist, dass diese sich akribisch an die bestehenden Policies hält, denn nur so kann das nötige Vertrauen entstehen, ohne das die Zertifizierungsstelle hinfällig wäre.
Das DFN-CERT hat das auf einer Mailingliste so formuliert:
Klar, der gesunde Menschenverstand gibt Ihnen sofort recht. Das anbieten von Vertrauensdiensten ist aber nun mal rechtlich stark reguliert, und für außenstehende Dritte sind nur formale Methoden nachvollziehbar. "Ich kenn Person X doch seit Jahren, das passt!" ist für Sie natürlich total naheliegend und ich persönlich würde Ihnen das natürlich auch sofort glauben. "Publicly Trusted" bedeutet aber potentiell für alle 7 Milliarden Erdenbürger "trusted" und auch Sie hätten ein Vertrauensproblem, wenn irgendwer aus irgendeinem Land irgendwo auf der Welt eine solche Aussage träfe. Daher geht das leider einfach nicht [...]
Wir kommen also weder an den Policies noch am Betriebsmodell vorbei.

Ich bin neuer Mitarbeiter. Wie kann ich ein Nutzerzertifikat bekommen?

Ohne persönlichen Kontakt leider gar nicht. Möglicherweise funktioniert für Sie eine der Alternativen.

Warum gibt es keine Zertifikatverlängerung für Benutzer?

Die KIT-CA hat (anders als andere CAs, die unterhalb der DFN-PKI betrieben werden) ein angepasstes Betriebsmodell, ohne das wir in der derzeitigen Skalierung (mehrere Tausend Anträge pro Jahr) die anfallenden Anträge gar nicht bearbeiten könnten. Eine Verlängerung (wie bspw. im DFN-PKI Blog beschrieben) ist bei uns nicht möglich.