Die Fraport AG hat 2016 im Zuge der Ablösung von SHA1 auf SHA2 eine neue PKI ("PKI 2016") aufgebaut, die die alte PKI von 2008 ablöst. Die hierarchisch aufgebaute PKI 2016 besteht aus folgenden CAs:

  • Fraport AG CA Root 2016: Die Root-CA ist die führende Authentifizierungsinstanz. Sie fungiert als Stammzertifizierungsstelle. Ihr Zweck ist es, Sub-CAs zu erzeugen bzw. zu signieren. Die CA wird offline betrieben und hat ein sehr hohes Sicherheitsniveau.
  • Fraport AG SCA BaseOn 2016: Diese Online-CA stellt Zertifikate für Server, Clients und User aus.
  • Fraport AG SCA MailOff 2016: Die CA E-Mail-Security stellt Zertifikate zur Verschlüsselung und digitalen Signatur von E-Mails aus. Sie wird offline betrieben.
  • Fraport AG SCA WebBC 2016: Die CA Websicherheit wird auf dem Proxy eingesetzt. https-Verbindungen zwischen Clients aus dem Fraport-Netz und Servern im Internet werden in einer Blackbox unterbrochen, auf Viren überprüft und anschließend wieder verschlüsselt. Die https-Verbindungen gehen daher vom Client zum Proxy und vom Proxy zum Server (und andersherum). Der Proxy übernimmt dabei die Prüfung des Zertifikats der Server, die Clients wiederum Vertrauen dem Proxy.Die CA hat ein normales Sicherheitsniveau und wird online betrieben.  
  • Fraport AG SCA ServerOff 2016: Die CA Serversicherheit stellt SSL-Zertifikate für Server aus. Sie wird offline betrieben.
  • Fraport AG SCA EmbeddedOff 2016: Die CA Embedded Systems erzeugt Zertifikate für Clients zur 802.1x-Authentifizierung am Netzwerk. Diese Clients haben die Besonderheit, dass sie, aufgrund ihrer Beschaffenheit, nicht als einzelnes Objekt, sondern als Klasse angesehen werden. Demnach werden nicht die einzelnen Geräte, sondern alle Geräte einer Klasse mit jeweils einem Zertifikat ausgestattet. Die CA Embedded Systems wird im Sicherheitsniveau Hoch betrieben.  
  • Fraport AG SCA CodeOff 2016: Die CodeSigning dient zur Signierung von Anwendungen. Die Zertifikate werden für die jeweilige Applikation ausgegeben. Sie hat ein normales Sicherheitsniveau und wird offline betrieben.

Die PKI 2008 ist ebenfalls hierarchisch aufgebaut und besteht aus den folgenden Certification Authorities (CAs). Die PKI wird durch die PKI 2016 abgelöst.

  • Root-CA: Die Root-CA ist die führende Authentifizierungsinstanz. Sie fungiert als Stammzertifizierungsstelle. Ihr Zweck ist es, Sub-CAs zu erzeugen bzw. zu signieren. Die CA wird offline betrieben und hat ein sehr hohes Sicherheitsniveau.
  • E-Mail-Security: Die CA E-Mail-Security stellt Zertifikate zur Verschlüsselung und digitalen Signatur von E-Mails aus. Sie wird offline betrieben.
  • Websicherheit: Die CA Websicherheit wird auf dem Proxy eingesetzt. https-Verbindungen zwischen Clients aus dem Fraport-Netz und Servern im Internet werden in einer Blackbox unterbrochen, auf Viren überprüft und anschließend wieder verschlüsselt. Die https-Verbindungen gehen daher vom Client zum Proxy und vom Proxy zum Server (und andersherum). Der Proxy übernimmt dabei die Prüfung des Zertifikats der Server, die Clients wiederum Vertrauen dem Proxy. Die CA hat ein normales Sicherheitsniveau und wird online betrieben.
  • Serversicherheit: Die CA Serversicherheit stellt SSL-Zertifikate für Server aus. Sie wird offline betrieben.  
  • Computer Certificates: Die CA Computer Certificates stellt Zertifikate bereit, mit denen sich Endgeräte authentifizieren. Sie hat ein normales Sicherheitsniveau und wird online betrieben.  
  • User Certificates: Die CA User Certificates stellt Zertifikate bereit, mit denen sich Mitarbeiter authentifizieren. Sie hat ein normales Sicherheitsniveau und wird online betrieben.  
  • Embedded Systems: Die CA Embedded Systems erzeugt Zertifikate für Clients zur 802.1x-Authentifizierung am Netzwerk. Diese Clients haben die Besonderheit, dass sie, aufgrund ihrer Beschaffenheit, nicht als einzelnes Objekt, sondern als Klasse angesehen werden. Demnach werden nicht die einzelnen Geräte, sondern alle Geräte einer Klasse mit jeweils einem Zertifikat ausgestattet. Die CA Embedded Systems wird im Sicherheitsniveau Hoch betrieben.
  • CodeSigning: Die CodeSigning dient zur Signierung von Anwendungen. Die Zertifikate werden für die jeweilige Applikation ausgegeben. Sie hat ein normales Sicherheitsniveau und wird offline betrieben.
Im Zuge der Ablösung von SHA1 auf SHA2 wurde 2016 eine neue PKI, inkl. einer neuen Root-CA, aufgesetzt.
Fraport AG CA Root 2016   
Link zum Zertifikat fraport-ag-ca-root-2016-cacert.cer
Fingerprint 9996c7da1a4b9dd8d2de8f06950a56ddce0cedf0
  
Fraport AG SCA BaseOn 2016   
Link zum Zertifikat fraport-ag-sca-baseon-2016-cacert.cer
Fingerprint a121c24fa9e880be16d8c9c36aba10b7543e9cc6
  
Fraport AG SCA ServerOff 2016   
Link zum Zertifikat fraport-ag-sca-serveroff-2016-cacert.cer
Fingerprint 9b9209e15b6b7a412c328fc14a8d05de3ced977d
  
Fraport AG SCA MailOff 2016   
Link zum Zertifikat fraport-ag-sca-mailoff-2016-cacert.cer
Fingerprint c94d49f09bae9abeecb522462187c87c6dcb975b
  
Fraport AG SCA EmbeddedOff 2016   
Link zum Zertifikat fraport-ag-sca-embeddedoff-2016-cacert.cer
Fingerprint 7982f9523765c753f75f8b3d34743ef2919ce7fe
  
Fraport AG SCA WebBC 2016   
Link zum Zertifikat fraport-ag-sca-webbc-2016-cacert.cer
Fingerprint 042fedd050fded89f6453663fba7a82af8fe11ff
  
Fraport AG SCA CodeOff 2016   
Link zum Zertifikat fraport-ag-sca-codeoff-2016-cacert.cer
Fingerprint edb170a97f5504da80677688cc627513e9dc1fc6
Die Root-CA von 2008 sowie die darunter hängenden SubCAs altern aus.
Link zum Zertifikat fraport_ag_ca_root_2008-cacert.cer
Hashwert md5 93 92 3b aa 54 a9 7b ff a1 f0 04 07 c7 95 10 18
Hashwert sha1 76 1E AC F3 47 89 D0 46 E0 31 E6 CB 94 D3 F5 D9 CF 38 D4 DD
  
Die Serversecurity-CA stellt SSL-Zertifikate der Fraport AG aus.
Link zum Zertifikat fraport_ag_ca_serversicherheit.cer
Hashwert md5 AB 1F 20 2F 4C 69 7F C9 0F 22 1D 91 0C 42 81 03
Hashwert sha1 07 72 D3 DA BE 07 09 5D 5C 63 F9 9E 84 4D F1 94 4A 13 8A 88
  
Die E-Mailsecurity-CA stellt Personenzertifikate zur Verschlüsselung und Signatur von E-Mails für Mitarbeiter sowie externe Beschäftigteder Fraport AG aus.
Link zum Zertifikat fraport_ag_ca_emailsecurity_2008.cer
Hashwert md5 D7 53 61 5B 7E C9 6C 7B AF 3B DA 4B 2D F0 89 AF
Hashwert sha1 E6 EA 46 C1 C3 C3 74 6F 7D 4E A5 2D 3B 54 39 78 BA 5B 5D 55
  
Die Websicherheit-CA stellt Adhoc-Zertifikate für verschlüsselte Verbindungen über den Proxy der Fraport AG aus.
Link zum Zertifikat fraport_ag_ca_websicherheit.cer
Hashwert md5 E3 CA 78 57 0E 9B 1A C8 A3 19 44 70 65 18 7D 9A
Hashwert sha1 63 20 DA 16 80 4B 21 53 5B 45 CA F8 05 CD DC 57 21 1C DC CC
  
Die CodeSigning CA stellt Zertifikate zur Signierung von Anwendungen der Fraport AG aus.
Link zum Zertifikat ca-codesigning-2014.cer
Hashwert md5 f2 bd e1 7f 7f e8 41 9f de 48 14 c1 08 41 06 3d
Hashwert sha1 ca 3c 2a 59 f6 1c 77 52 21 72 41 22 95 5e d3 55 39 98 ae 97
Hier finden Sie die Sperrlisten der CAs. Nicht alle CRL-Pfade sind aus dem Internet erreichbar
Fraport AG CA Root 2016 http://pki.fraport.de/Fraport_AG_CA_Root_2016.crl
http://pki2.fraport.de/Fraport_AG_CA_Root_2016.crl
http://pki3.fraport.de/Fraport_AG_CA_Root_2016.crl
Fraport AG SCA BaseOn 2016 http://pki.fraport.de/BaseOn-2016.crl
http://pki2.fraport.de/BaseOn-2016.crl
http://pki3.fraport.de/BaseOn-2016.crl
Fraport AG SCA ServerOff 2016 http://pki.fraport.de/ServerOff-2016.crl
http://pki2.fraport.deServerOff-2016.crl
http://pki3.fraport.de/ServerOff-2016.crl
Fraport AG SCA MailOff 2016 http://pki.fraport.de/MailOff-2016.crl
http://pki2.fraport.de/MailOff-2016.crl
http://pki3.fraport.de/MailOff-2016.crl
Fraport AG SCA EmbeddedOff 2016 http://pki.fraport.de/EmbeddedOff-2016.crl
http://pki2.fraport.de/EmbeddedOff-2016.crl
http://pki3.fraport.de/EmbeddedOff-2016.crl
Fraport AG SCA CodeOff 2016 http://pki.fraport.de/CodeOff-2016.crl
http://pki2.fraport.de/CodeOff-2016.crl
http://pki3.fraport.de/CodeOff-2016.crl
Hier finden Sie die Sperrlisten der CAs.
Root http://pki.fraport.de/CA_Root_2008/Fraport_AG_CA_Root.crl
Serversecurity http://pki.fraport.de/CA_Serversecurity_2009/Fraport_AG_CA_Serversecurity.crl
E-Mail http://pki.fraport.de/CA_eMailsecurity_2008/Fraport_AG_CA_eMailsecurity.crl
Websicherheit --
Embedded Systems http://pki.fraport.de/CA_Serversecurity_2009/Fraport_AG_CA_Embedded_Systems.crl
CodeSigning http://pki.fraport.de/CA_Root_2008/Fraport_AG_CA_CodeSinging.crl