[Technik] Zertifikate, Hostname, Paket-IPs und die BO

[Christof Donat]

Hi,

> > > Außerdem sollte mih78 doch eh nicht auf edv39 zugreifen dürfen, oder?
> >
> > Das verstehe ich jetzt nicht im Zusammenhang mit dem Zertifikat. Diese
> > Verbot (nicht zugreifen dürfen) wäre ja nur ein Verbot laut BO, kein
> > technisch implementiertes Verbot.
>
> ok, also prinzipiell wie jetzt mit h##, da hatte ich deine andere
> Forderung falsch verstanden. Das Problem ist aber ja auch eh, dass wir
> ein Paket-Zeritifikat nur nachträglich manuell machen können (was ich gar
> nicht gut finde), oder wir das Root-Zeritifikat auf einem Server ablegen
> müssten (was auch nicht so toll ist).

Das Root-Zertifikat ist gar nicht so sehr das Problem, sondern der dazu 
gehörende private Key. Ich nehme an, dass du den meinst, weil man ohne den 
natürlich auch keine neuen Zertifikate signieren kann.

Man könnte natürlich auch einen speziellen Rechner haben, der z.B. sich per 
cronjob morgens zu den Paketservern verbindet und erfährt, welche neuen 
Pakete es gibt und dann jegliche Netzwerkverbindungen beendet (Bei SuSE wäre 
das "rcnetwork stop", bei debian weiß ich es nicht). Dann schiebt irgendwann 
Vormittags jemand eine Chipkarte in einen Kartenleser und Mittags startet der 
nächste cronjob, in dem für alle neuen Pakete Zertifikate mit dem Schlüssel 
auf der Chipkarte erzeugt werden. Danach wird signalisiert, dass das 
Generieren von Zertifikaten abgeschlossen ist (z.B. über ein angeschlossenes 
Display) und die Chipkarte kann wieder entfernt werden. Am nächsten Morgen 
baut der Rechner seine Netzwerkverbindungen wieder auf und verbindet sich 
wieder zu den Paketservern. Dabei werden dann die neuen Zertifikate 
übertragen.

Nur gibt es das übliche, leidige Problem: Wer macht sich die Arbeit? Das 
Chipkarten einschieben kann evtl. beim Büroservice gemacht werden, Ich nehme 
an, dass da sowieso an jedem Werktag jemand anwesend ist.

Christof