NEUIGKEITEN UND HINWEISE:

AKTUELLES:

Voraussetzungen für den Zugang zum Berliner Landesnetz BeLa via BRAIN

Allgemeines

Normalerweise erfolgt der Zugriff auf Daten innerhalb des Berliner Landesnetzes (BeLa) für am Landesnetz angeschlossene Einrichtungen über Web-Server innerhalb des Landesnetzes. Diese Server sind von ausserhalb des BeLa nicht erreichbar.

BRAIN-Verbundnetz-Teilnehmern, die für Ihre Verwaltungsmitarbeiter einen Zugriff auf die Daten innerhalb des BeLa benötigen, aber nicht am BeLa direkt angeschlossen sind, bietet BRAIN kostenfrei eine Web-Schnittstelle für den (lesenden) Zugriff auf die Daten innerhalb des BeLa. Zu diesem Zweck betreibt BRAIN einen eigenen HTTP(S)-Proxy, der eine direkte Verbindung über eine dedizierte LWL zu einem HTTP-Proxy im ITDZ (IT-Dienstleistungszentrum, ehemals LIT) hat. Das ITDZ betreibt grosse Teile der IT-Technik des BeLa und bietet über einen eigenen HTTP-Proxy Zugriffsmöglichkeiten auf das BeLa. Eine Sicherheitsanforderung der Senatsinnenverwaltung für Zugriffe auf Inhalte des BeLa ist, dass die Kommunikation zwischen Nutzer und Server verschlüsselt erfolgt. Zu diesem Zweck erfolgt der Zugriff aus Nutzersicht über den BRAIN-BeLa-Proxy ausschliesslich mit dem Protokoll https (HTTP over SSL/TLS).

Alle Web-Zugriffe auf das BeLa durch den Nutzer erfolgen über den BRAIN-BeLa-Proxy (siehe nachfolgende Grafik). Auf Nutzerseite wird ein gängiger Web-Browser benötigt, z. B. Firefox, Google Chrome, Internet-Explorer bzw. Microsoft Edge, Safari oder Opera. Weitere Software ist nicht notwendig.

Zugangsberechtigung der Einrichtungen

Schritt 1: Genehmigung durch die Senatsverwaltung für Inneres

Die Genehmigung für den lesenden Zugriff auf das Berliner Landesnetz wird für jede Einrichtung von der Senatsverwaltung für Inneres erteilt (siehe Zugangsberechtigte Einrichtungen). Falls noch nicht vorhanden, wenden Sie sich bitte zur Beantragung der Zugangsberechtigung Ihrer Einrichtung an die BRAIN-Geschäftsstelle.

Schritt 2: Zugriff auf das BeLa nur von ausgewählten IP-Adressen

Zugriffe auf den BRAIN-BeLa-Proxy werden nur von ausgewählten IP-Adressen aus dem Netz der nutzenden Einrichtung gestattet. Die IP-Adressen der Arbeitsplatz-PCs oder der Web-Proxies innerhalb der Einrichtung müssen vor der Nutzung des Dienstes einmalig an BRAIN per Mail übermittelt werden.

Schritt 3: CA-Zertifikat der Einrichtung an BRAIN übermitteln

Jeder authorisierte Mitarbeiter benötigt für den Zugriff auf das BeLa via BRAIN ein persönliches digitales Zertifikat. Dieses Zertifikat ist von einer vom BRAIN-BeLa-Proxy autorisierten Root-CA (CA – Certificate Authority, siehe Wikipedia (externer Link)) signiert. Bei der Root-CA handelt es sich entweder um die CA der nutzenden Einrichtung oder die CA der DFN-PKI. Die CA-Zertifikate der DFN-PKI liegen BRAIN vor. Damit werden von DFN-Verein signierte Zertifikate akzeptiert. Die CA-Zertifikate jeder nutzenden Einrichtung müssen einmalig an die BRAIN-Geschäftsstelle per E-Mail im PEM-Format (externer Link) übermittelt werden. Diese werden dann auf dem BRAIN-BeLa-Proxy installiert. In der Folge werden die von dieser CA signierten Zertifikate von BRAIN akzeptiert.

Zugangsberechtigung der Nutzer (Zertifikatsbasierte Nutzerauthentifizierung)

Für den lesenden Zugriff auf die Daten des Berliner Landesnetzes (BeLa), muss sich der Nutzer gegenüber dem BRAIN-BeLa-Proxy authentifizieren. Diese Authentifizierung erfolgt zu Beginn jedes Sitzungsaufbaus durch X.509-Zertifikate. Nachfolgend wird Ihnen erklärt, welche Schritte für Ihre Zugangsberechtigung zum BeLa notwendig sind. Bitte wenden Sie sich gegebenenfalls an den zuständigen IT-Beauftragten Ihrer Einrichtung, falls Ihnen nicht bekannt ist, ob die Voraussetzungen für die Zugangsberechtigung Ihrer Einrichtung erfüllt sind. Eine gute Einführung zu X.509-Zertifikaten finden Sie auf Wikipedia (externer Link).

Schritt 1: Zertifikate beschaffen

Jeder Nutzer benötigt ein persönliches X.509-Nutzerzertifikat, signiert durch eine übergeordnete Zertifizierungsinstanz (CA – Certificate Authority, siehe Wikipedia (externer Link)). Wir gehen davon aus, dass die nutzende Einrichtung im Rahmen ihrer eigenen PKI (Public-Key-Infrastruktur, siehe Wikipedia (externer Link)) eine CA betreibt und damit in der Lage ist, den berechtigten Nutzern signierte Zertikate bereit zu stellen.
Ist dies nicht der Fall, wendet sich die Einrichtung bitte an den DFN-Verein (externer Link). Dieser bietet seinen Mitgliedern nach Registrierung die Möglichkeit, DFN-signierte Zertifikate über eine Web-Schnittstelle selbst zu generieren (siehe DFN-PKI (externer Link)).
Die Liste der an der DFN-PKI teilnehmenden Einrichtungen finden Sie hier (externer Link).

Achtung: Das Zertifikats-Subject („Subject-Line“) darf aus technischen Gründen keinen Doppelpunkt enthalten. Bitte achten Sie darauf, bzw. teilen dies der ausstellenden Instanz mit.

Schritt 2: Zertifikate installieren

Verfügt der Nutzer über ein persönliches X.509-Nutzerzertifikat (i.d.R. eine Datei im PKCS#12-Format (externer Link)) muss dieses EINMALIG im verwendeten Web-Browser installiert werden. Dies geschieht über die Einstellungsmenüs und -Dialoge des jeweiligen Web-Browsers. Eine beispielhafte Beschreibung für den Import von digitalen Zertifikaten in Mozilla-Firefox finden Sie hier… (externer Link)

Ist das Zertifikat installiert, wird es in der Folge bei jedem Sitzungsaufbau Richtung BeLa automatisch zur Nutzer-Authentifizierung gegenüber dem BRAIN-BeLa-Proxy verwendet.

Schritt 3: Zertifikats-Subject („Subject-Line“) des Nutzerzertifikates an BRAIN übermitteln

Bei der Subject-Line handelt es sich um einen Teil des X.509-Zertifikates, welcher i.d.R. den Namen des Zertifikateigentümers enthält. Die Subject-Line muss dem BRAIN-BeLa-Proxy bekannt sein, sonst wird das Zertifikat abgelehnt und damit der Verbindungsaufbau abgebrochen. Würde diese Überprüfung nicht stattfinden, könnten ALLE Mitarbeiter einer Einrichtung auf das BeLa zugreifen, wenn sie über ein von ihrer CA signiertes Zertifikat verfügen. Dies widerspricht der Security-Policy, die BRAIN mit der Senatsinnenverwaltung und dem ITDZ abgestimmt hat.
Die Subject-Line kann direkt mit Copy-and-Paste aus der ASCII-Darstellung des X.509-Zertifikates kopiert werden oder mit entsprechenden Hilfsprogrammen (z. B. openssl) auf der Konsole zur Anzeige gebracht werden.
Die nutzende Einrichtung muss von jedem ihrer berechtigten Verwaltungsmitarbeiter die jeweilige Subject-Line aus dem persönlichen X.509-Zertifikat des Mitarbeiters kopieren und per Mail an die BRAIN-Geschäftsstelle senden. Diese werden dann auf dem BRAIN-BeLa-Proxy eingetragen.

Beispiele für X.509-Subject-Lines:

  • /C=DE/O=Humboldt-Universitaet zu Berlin/OU=CMS/CN=Erika Mustermann
  • /C=DE/O=Zuse-Institut Berlin/OU=IT-Services/CN=Karl Mueller
Anzeigen der X.509-Subject-Line

Die Subject-Line eines im PEM-Format vorliegenden X.509-Zertifikates kann beispielsweise folgendermassen angezeigt werden:

  • … über ein Web-InterfaceDas Web-Interface bietet Ihnen ein einfaches Formular zur Eingabe eines im PEM-Format vorliegenden X.509-Zertifikates (mit der Maus per Copy-and-Paste) und die Anzeige der Subject-Line des Zertifikates.
  • … in einer Linux-Konsole mit openssl:Mit der folgenden Kommandozeile kann die X.509-Subject-Line auf der Konsole angezeigt werden (Voraussetzung: openssl ist installiert):

foo@bar:~$ openssl x509 -inform PEM -in erika.cert.pem -noout -nameopt utf8 -subject|cut -d'=' -f2-|sed 's|, |/|g'
/C=DE/O=Humboldt-Universitaet zu Berlin/OU=CMS/CN=Erika Mustermann
„erika.cert.pem“ ist das X.509-Zertifikat im PEM-Format.

  • Windows: Um das Zertifikat unter Windows anzeigen zu lassen, bitte folgende Schritte ausführen:
    • Zertifikat aus dem Brwoser im pkcs12-Format exportieren
    • openssl herunterladen: https://slproweb.com/products/Win32OpenSSL.html
    • pkcs12 –> pem konvertieren: openssl.exe pkcs12 -in zertifikat.p12 -nokeys -clcerts -out zertifikat.pem
    • Dann copy & Paste des .pem Inhalt nach Web-Interface
    • Alles vor —–BEGIN CERTIFICATE—– entfernen und auf „Subjct anzeigen…“ klicken.

Sicherheitsüberpüfung durch BRAIN

  • Die Genehmigung der Senatsverwaltung für den Zugriff der Einrichtung auf das BeLa via BRAIN liegt BRAIN vor.
  • Die IP-Adresse des zugreifenden Arbeitsplatz-PC´s wurde BRAIN von der Einrichtung übermittelt.
  • Das CA-Zertifikat der Einrichtung ist BRAIN bekannt.
  • Der BRAIN-BeLa-Proxy akzeptiert nur Nutzer-Zertifikate, die folgenden Bedingungen genügen:
    • Bei dem Zertifikat handelt es sich um ein digitales X.509-Zertifikat.
    • Das Zertifikat ist von einer vom BRAIN-BeLa-Proxy autorisierten Root-CA signiert.
    • Die „Subject-Line“ des X.509-Nutzerzertifikates ist dem BRAIN-BeLa-Proxy bekannt.