Teilnahme an der V-PKI
Um an der V-PKI teilnehmen zu können, gibt es zwei Möglichkeiten:
Direktbezug von Zertifikaten:
- Kommerzielle Anbieter oder
- Teilnahme als Zertifizierungsstelle unterhalb der Root-CA des BSI
Um als Zertifizierungsstelle (Certificate Authority (CA)) entsprechende Dienstleistungen der Verwaltungs-PKI (V-PKI) zu nutzen, wird eine Vereinbarung zzgl. Selbsterklärung zwischen CA und Policy Certificate Authority (PCA) der V-PKI geschlossen. Die Teilnahme der Zertifizierungsstelle an der V-PKI wird anschließend von der PCA durch ein CA-Zertifikat bestätigt.
Nachdem die technischen Voraussetzungen in der Erprobungsphase erfolgreich getestet wurden, müssen noch einige formale Voraussetzungen erfüllt werden, die u. a. in §2 und §3 der Vereinbarung zwischen PCA und CA-Dienstleister geregelt sind. Vor der Vertragsunterzeichnung ist die Ausstellung eines Zertifizierungsstellen-Zertifikats beim BSI schriftlich zu beantragen. Dem ausgefüllten und unterschriebenen Antrag sind beizufügen:
- die aktuell geltenden Sicherheitsleitlinien (Policy) der Zertifizierungsstelle
- die Selbsterklärung
- ein aktueller Handelsregisterauszug oder der Nachweis einer nach heimischem Recht vorgeschriebenen Eintragung in ein Berufs- oder Handelsregister
- die Erklärung, dass gegenwärtig kein Insolvenzverfahren gegen den Antragsteller eröffnet worden ist oder dessen Eröffnung beantragt worden ist
Nach Vorlage und Prüfung der entsprechenden Dokumente durch das BSI kann die Zertifizierung des PKCS#10-Request durchgeführt werden. Anschließend wird durch die Root-CA der V-PKI das CA-Zertifikat erzeugt und an einen Verantwortlichen der Zertifizierungsstelle übergeben.
Die Veröffentlichung im X.500-Verzeichnis des IVBB erfolgt, nachdem der CA-Betreiber das für ihn ausgestellte Zertifikat auf die Richtigkeit der Angaben und funktionale Korrektheit überprüft hat und die Akzeptanz der Root-CA mitgeteilt hat. Bleibt in einem Zeitraum von 5 Arbeitstagen die Bestätigung aus oder schlägt die Überprüfung fehl, wird das Zertifikat gesperrt.
Der Namensraum, für den die CA Zertifikate ausstellt, ist der Wurzelzertifizierungsstelle zur Prüfung und Freigabe vorzulegen. Nicht mehr benötigte Namensräume sind abzumelden.
Erprobungsphase
Für die Erprobungsphase bietet das BSI allen an der Verwaltungs-PKI Interessierten ein Testzertifikat an, um vor der Aufnahme des Echtbetriebs sowohl die technischen, als auch die organisatorischen internen Abläufe den Anforderungen der V-PKI anzupassen.
Vor der Durchführung dieses Tests ist der Antrag zur Ausstellung eines CA-Testzertifikats für die Verwaltungs-PKI auszufüllen und unterschrieben an das BSI zurück zu senden. Die gewünschte Gültigkeitsdauer sollte so angegeben werden, dass das Zeitfenster für die Erprobungsphase nicht zu knapp bemessen wird. Das PKI-Management erfolgt über einen an das BSI zu sendenden PKCS#10-Request. Die Antwort gelangt nach der Zertifizierung mittels eines PKCS#7-Reply an die CA zurück.
Im Rahmen dieser Testphase wird empfohlen Teilnehmer bzw. Sub-CA-Zertifikate auszustellen und wieder zu sperren, um so die Funktionalität der vom TrustCenter erzeugten Formate zu verifizieren. Die erzeugten Zertifikate und Sperrlisten können in einem Testverzeichnis Test-X500.bund.de per LDAP für den Import in einen E-Mail Client bereitgestellt und abgerufen werden.
Antragsformulare
Aktuelle Antragsformulare für CA- Zertifikate können per E-Mail über die Kontaktadresse angefordert werden.
Das Kerndokument einer PKI ist die Certificate Policy (CP), in der die Sicherheitsleitlinien festgehalten sind. Es werden die unterstützten Prozesse und Applikationen beschrieben und das hierfür angestrebte Sicherheitsniveau definiert. Hier ist festgelegt unter welchen Voraussetzungen Zertifikate durch die Zertifizierungsstellen (Certificate Authority (CA)) ausgestellt, veröffentlicht und gesperrt werden.
Mit der Policy gelten die im Literaturverzeichnis der CP aufgeführten und nachfolgend angegebenen Dokumente:
- TR-02102-1
- Technische Richtlinie TR-02102-1, Kryptographische Verfahren:
Empfehlungen und Schlüssellängen, BSI - TR-03145-1
- Technische Richtlinie TR-3145-1, Secure CA operation, BSI
- TR-03125
- Technische Richtlinie TR-3125, Beweiswerterhaltung kryptographisch signierter Dokumente, BSI
- BSI-KostV
- BSI-KostV BSI Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik, BSI
- RFC 3161
- RFC3161 Request for Comments: 3161, Internet X.509 Public Key Infrastructure, Time-Stamp Protocol (TSP), Network Working Group
- RFC 3647
- Request for Comments: 3647, Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices Framework, Network Working Group
- RFC 4511
- Request for Comments: 4511, Lightweight Directory Access Protocol (LDAP): The Protocol, Network Working Group
- RFC 4514
- Request for Comments: 4514: Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names, Network Working Group
- RFC 5280
- Request for Comments: 5280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, Network Working Group
- RFC 5322
- Request for Comments: 5322: The Internet Message Format, Network Working Group
- RFC 6960
- Request for Comments: 6960: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP, Internet Engineering Task Force (IETF)
- eIDAS
- VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
Link zu den Technischen Richtlinien
Anhänge zur Certificate Policy
Anhang A: Vertrag (Vertragsbeispiel zwischen BSI und Zertifizierungsstellenbetreiber)
Anhang B: Selbsterklärung (Beispiel Selbsterklärung, die jeder Zertifizierungsstellenbetreiber unterschrieben hat)