Architektur (PKI Dataport)
Aufbau der PKI
Legende zu den Zertifikatstypen:
- Ausstellung von Benutzerzertifikaten auf Smartcards (Zertifikatsklasse: 4)
- Ausstellung von Maschinenzertifikaten (Zertifikatsklasse: 1 + 2)
- Ausstellung von Benutzerzertifikaten (Zertifikatsklasse: 1)
- Ausstellung von Zertifikaten über SCEP (Zertifikatsklasse: 2)
Die Dataport Zertifizierungsinfrastruktur ist als zweistufige Public Key Infrastruktur (PKI) hierarchisch aufgebaut. Für die Zertifikaten wurden entsprechend der Workflows und der Speicherung der kryptografischen Schlüssel 4 Zertifikatsklassen definiert. Zertifikate der Klasse 1 werden automatisch als Softzertifikate ausgerollt. Die der Klasse 2 manuell als Softzertifikate. Die Klassen 1 und 2 sind für technische Entitäten vorgesehen. Die Klasse 3 sind Softzertifikate für Benutzer und die der Klasse 4 Zertifikate auf Smartcards für Benutzer.
Die derzeitige Implementierung umfasst eine ROOT CA 02 und drei SUB CAs. Die DATAPORT CA 03 ist für die Ausgabe von Benutzerzertifikaten, die DATAPORT CA 04 und Dataport CA 06 sind für die Ausgabe von Maschinenzertifikaten vorgesehen.
Die kryptografischen Schlüssel der Certifikate Authorities (CAs) sind durch ausfallsichere Netzwerk Hardware Security Modules (HSMs) abgesichert.
Die PKI betreffende Informationen werden über einen Web-Dienst veröffentlicht. Dazu zählen die Statusinformationen der Zertifikate über Sperrlisten(CRLs), die Zertifikate der CAs, die Zertifikatsrichtlinie (CP/CPS) sowie ergänzende Dokumente (Anleitungen etc.). Alternativ zur Veröffentlichung der Statusinformationen der Zertifikate über Sperrlisten, werden diese Informationen auch über Online Certificate Status Protocol (OCSP) Responder bereitgestellt. Die Ausgabe von Zertifikaten wird über Autoenrollment für technische Entitäten und für Benutzer und andere technischen Entitäten mit höherem Schutzbedarf anderen über ein Zertifikatsmanagementtool umgesetzt.