Architektur (PKI Dataport)
Aufbau der PKI
Legende zu den Zertifikatstypen:
- Ausstellung von Benutzerzertifikaten auf Smartcards (Zertifikatsklasse: 4)
- Ausstellung von Maschinenzertifikaten (Zertifikatsklasse: 1 + 2)
- Ausstellung von Benutzerzertifikaten (Zertifikatsklasse: 1)
- Ausstellung von Zertifikaten über SCEP (Zertifikatsklasse: 2)
Die Dataport Zertifizierungsinfrastruktur ist hierarchisch aufgebaut und terminiert an der Dataport ROOT CA 02. Die Dataport PKI ist hierbei zweistufig aufgebaut.
Die derzeitige Implementierung umfasst eine ROOT CA 02 und zwei SUB CAs. Die DATAPORT CA 03 ist für die Ausgabe von Benutzerzertifikaten und die DATAPORT CA 04 ist für die Ausgabe von Maschinenzertifikaten vorgesehen.
Alle an der PKI beteiligten Komponenten sind durch ausfallsichere Netzwerk Hardware Security Modules (HSMs) abgesichert. Die Schlüsselgenerierung und -verwaltung für die Komponenten erfolgt auf diesen Appliances.
Die PKI betreffende Informationen werden über einen Web-Dienst veröffentlicht. Dazu zählen die Statusinformationen der Zertifikate (CRLs), die Zertifikate der CAs, die CP/CPS sowie ergänzende Dokumente (Anleitungen etc.). Alternativ zur Veröffentlichung der Statusinformationen der Zertifikate via Web werden diese Informationen über Online Certificate Status Protocol (OCSP) Responder bereitgestellt. Die Ausgabe von Zertifikaten wird über Autoenrollment für Clients und Domänencontroller und für alle anderen über ein Zertifikatsmanagementtool umgesetzt.