Managed PKI

Der Dienst "Managed PKI" zur Automatisierung des Zertifikatsbezuges umfasst das automatische Ausstellen, Befüllen und Verwalten von Zertifikaten durch ein Trustcenter.

Zur Erfüllung dieses Dienstes werden zwei unterschiedliche Klassen von Zertifikaten eingesetzt. Zuerst wird mindestens ein Administrator oder Verantwortlicher des Unternehmens über das PostIdent-Verfahren identifiziert und mit einem Klasse 3 Endbenutzer-Zertifikat ausgestattet. Über dieses bekannte Zertifikat können alle weiteren Klasse-2-Endbenutzer-Zertifikate für die Mitarbeiter des Unternehmens beantragt und vom Trustcenter ausgestellt werden.

Hierarchie und Gültigkeit von Zertifikaten
Für die Akzeptanz von Endbenutzer-Zertifikaten im praktischen Einsatz ist die Vertrauenswürdigkeit des Wurzelzertifikates für die Empfänger eine Grundvoraussetzung. Daher werden die CA-Zertifikate zusätzlich von einem anerkannten Browserzertifikat quersigniert, um dann von fast allen weltweiten Anwendungsprogrammen (99,3 % aller gängigen Browser/E-Mail-Programme) automatisch erkannt zu werden. Dieser Vorgang verursacht keine Warnhinweise oder Aufforderungen zur manuellen Freischaltung oder Anerkennung der Zertifikate durch den Benutzer.

Ein Endbenutzer-Zertifikat ist ab dem Zeitpunkt der Generierung über eine maximale Dauer von fünf Jahren gültig.

Zertifikatsklassen
Zertifikate werden in weltweit einheitliche Klassen eingeordnet. Diese entsprechen keinem offizillem Standard. Die Klassen legen die Art der Überprüfung und die Art der Identitätsfeststellung des Zertifikatsinhabers fest.

Die Zertifikatsklassen bestimmen den Grad der Vertrauenswürdigkeit in das Ausstellungsverfahren von Zertifikaten. Für den Dienst "Managed PKI" werden die Klassen 2 und 3 genutzt.

Klasse 2
Das Klasse-2-Zertifikat erfordert eine Bestätigung über die Korrektheit der Angaben zur Person. Die Identifikation erfolgt über einen zugelassenen Service (z.B. Partnerunternehmen) oder durch einen persönlich identifizierten Zertifikatsinhaber der gleichen Organisation.

Klasse 3
Bei einem Klasse-3-Zertifikat erfolgt die Identifikation durch das PostIdent-Verfahren. Das Trustcenter identifiziert den Antragsteller eines Klasse-3-Zertifikats über das zertifizierte Verfahren PostIdent, einer Methode zur sicheren persönlichen Identifikation von Personen durch Mitarbeiter der Deutschen Post.

Zertifizierungsstelle
Die Zertifizierungsstelle erzeugt die Zertifikate. Die dafür notwendigen Daten erhält sie von der Registrierungsstelle oder zentral aus dem Zertifizierungsdienstemanager. Für die Anträge, die über das Mail-Gateway eingehen, führt der Zertifizierungsdienstemanager die Aufgaben der Registrierungsstelle vollautomatisch aus. Über die Schnittstelle leitet der Zertifizierungsdienstemanager die Produktionsfreigaben an die Produktionssteuerung und weiter an den Zertifizierungsdienst. Der Zertifizierungsdienstemanager generiert daraufhin die Klasse 2- und Klasse 3-Zertifikate. Nach der Produktion eines Klasse 3-Zertifikats erfolgt über die Produktionssteuerung der Ausdruck des zugehörigen PIN-Briefs und der Postversand an den Kunden.

Verzeichnisdienst
Der Verzeichnisdienst wird für die Veröffentlichung von Zertifikaten und Sperrlisten genutzt.

Zertifikate und Sperrlisten werden im Verzeichnisdienst abrufbar und nachprüfbar gehalten. Der Abruf und die Modifikation von Informationen des Verzeichnisdienstes erfolgt über das Lightweight Directory Access Protocol (LDAP). Dieses Netzwerkprotokoll ist in RFC 4511 spezifiziert.

Die signierten Zertifikate und Sperrlisten können aus dem Verzeichnisdienst herunter geladen werden. Über die Sperrliste kann der Kunde lokal prüfen, ob ein Zertifikat gesperrt ist. Die Sperrlisten werden einmal täglich vom Zertifizierungsdienst ausgestellt.

Schnittstelle zum Kunden
Das Mail-Gateway des Kunden ist die Schnittstelle zwischen dem Kunden und dem Trustcenter. Es wird mit Klasse-2- und Klasse-3-Endbenutzer-Zertifikaten und Klasse 3-Schlüsseldateien (PKCS#12-Datei) vom Trustcenter befüllt.

Das Mail-Gateway nutzt die Dienste des Trustcenters und sorgt für einen für den Nutzer transparenten, automatisierten und gesicherten E-Mail Datenaustausch. An zentraler Stelle werden die eingehenden und ausgehenden Daten bearbeitet.

Die Schlüssel können in das Mail-Gateway importiert und dort verwaltet werden. Es erfolgt keine Verteilung von Zertifikaten auf die Mitarbeiter-Rechner. Diese werden zentral verwaltet.

Ausstellung Klasse-3-Zertifikat
Das Verfahren zur Ausstellung von Klasse-3-Zertifikaten erfolgt bis auf die Prüfung der Antragsdaten durch die Registrierungsstelle vollautomatisch. Die Antragsstellung ist nur unter Angabe einer Rahmenvertragsnummer möglich. Dazu muss der Rahmenvertrag im Zertifizierungsdienstemanager hinterlegt worden sein.

Der Antragsteller ist ein Verantwortlicher oder Administrator des Mail-Gateways des Kunden. Er beantragt zunächst ein Klasse 3-Zertifikat über den Online-Antrag und wird mittels PostIdent identifiziert.

Die Antragsstellung, Identifikation und Antragsprüfung von Klasse-3-Zertifikaten verläuft analog zur Antragstellung, Identifikation und Antragsprüfung von qualifizierten Zertifikaten. Diese Prozesse bestehen bereits und werden hier nur der Vollständigkeit halber erläutert. Die neuen Prozese der Produktion, Produktionsprüfung und Veröffentlichung erfolgen vollautomatisch.

Ausstellung Klasse-2-Zertifikat
Die Klasse-2-Zertifikate werden von einem Klasse-3-Zertifikatsinhalber per E-Mail beantragt und vom Trustcenter per E-Mail zugestellt. Für jedes Zertifikat wird jeweils ein E-Mail Antrag gesendet und jedes Zertifikat wird in einer gesonderten E-Mail zugestellt.

Ein Klasse-2-Zertifikatsinhaber kann mehrere Zertifikate besitzen.

Sperrung Endbenutzer-Zertifikat
Die Klasse-2- und Klasse-3-Endbenutzer-Zertifikate haben eine Gültigkeitsdauer von fünf Jahren.
Unter bestimmten Bedingungen, beispielsweise bei einer Kompromittierung des Signaturschlüssels oder Änderung der Identifikationsinformation eines Zertifikatsinhabers werden Zertifikate vor Ablauf ihres Gültigkeitszeitraums ungültig und müssen gesperrt werden.

Das Trustcenter implentiert die folgenden drei Sperrdienste:

  • E-Mail-Sperrdienst
  • Brief-Sperrdient und
  • telefonischer Sperrdienst

Voraussetzung für die Sperrung ist, dass der Antragssteller einen Sperrantrag stellt und sich gegenüber dem Trustcenter authentisieren kann. Die Authentifizierung der Antragsteller unterscheidet sich bei den drei Sperrverfahren.

Sie erfolgt:

  • beim E-Mail Sperrantrag über die Prüfung der elektronischen Signatur,
  • beim Sperrantrag per Post über die Prüfung der handschriftlichen Unterschrift und
  • beim telefonischen Sperrantrag über die Prüfung des telefonischen Sperrkennworts.
Lassen Sie sich beraten!

Gerne informiere ich Sie in einem persönlichen Beratungsgespräch unverbindlich über unsere umfangreichen Security & Compliance Lösungen.
Kontaktieren Sie mich direkt:

Ralf Nitzgen
Geschäftsführer

+49 421 43841 356

Top-Thema

julia-3-5

JULIA MailOffice 3.5 - Die wichtigsten neuen Features im Überblick!

Weiteres Informationsmaterial finden Sie im Download-Center.

download-center

Diese Webseite nutzt Cookies. Sie können die Voraussetzungen für die Speicherung bzw. den Zugang zu Cookies in Ihrem Browser festlegen.