Verzeichnisdienstkonzept
In vielen Bereichen der Öffentlichen Verwaltung sind Public Key Infrastrukturen (PKI) bereits im Betrieb oder befinden sich im Aufbau. Die einzelnen Infrastrukturen sollen in der Verwaltungs-PKI zusammengeführt werden, für die das BSI die Wurzelzertifizierungsinstanz betreibt. Die jeweiligen Zertifizierungsinstanzen (CAs) erstellen und veröffentlichen Zertifikate und widerrufen diese bei Bedarf z. B. im Falle des Schlüsselmissbrauchs, mittels Sperrlisten.
Diese für den Anwender wichtigen Informationen werden über einen Verzeichnisdienst bereit gestellt. Der lokale Verzeichnisdienst ist im Allgemeinen innerhalb der Domäne einer PKI rasch zu realisieren. Allerdings sollen die Teilnehmer auch übergreifend kommunizieren können, z. B. wenn eine Bundesbehörde mit einer Landesbehörde vertrauliche Nachrichten austauschen möchte. Sobald die Grenzen einer PKI-Domäne für das Prüfen von Zertifikaten oder die Schlüsselsuche überschritten werden, muss der Teilnehmer zusätzlich auf die Informationen aus der anderen Domäne zugreifen. Meist ist jedoch eine Öffnung der lokalen Verzeichnisdienste einzelner Domänen für den Zugriff durch Dritte aus Sicherheits- und Performancegründen durch Firewalls, Protokoll- oder Portsperrung beschränkt.
Um eine "Verbindung" zwischen den lokalen Verzeichnissen der jeweiligen Domänen zu realisieren, können die hierfür notwendigen und freigegebenen PKI-Informationen über einen "zentralen Austauschdienst" ausgetauscht werden. Außerdem kann ein zentraler Verzeichnisdienst solche PKI-Informationen öffentlich zugänglich machen, für die dies erlaubt wird.
Das "Verzeichnisdienstkonzept" beschreibt die technischen, organisatorischen und rechtlichen Maßnahmen, die für den Austausch der PKI-Informationen zwischen den lokalen Verzeichnisdiensten und die öffentliche Bereitstellung notwendig sind.
Verzeichnisdienstkonzept (PDF)
Anhänge des Verzeichnisdienstkonzeptes (PDF)
- Kurz-URL:
- https://www.bsi.bund.de/dok/6615966