Zertifikatsrichtlinie (CP) der E.ON SE PKI. Version 1.3

Transkript

1 Zertifikatsrichtlinie (CP) der E.ON SE PKI Version 1.3 Erscheinungsdatum Datum des Inkrafttretens

2 Vermerk zum Copyright Zertifikatsrichtlinie der E.ON SE PKI 2015 D-TRUST GMBH, alle Rechte vorbehalten. Ohne Einschränkung der vorstehenden vorbehaltenen Rechte und über den im Folgenden gestatteten Rahmen hinaus darf kein Teil dieser Veröffentlichung auf irgend eine Weise oder mittels irgend eines Verfahrens (elektronisch, mechanisch, durch Fotokopie, Aufzeichnung oder auf sonstige Weise) ohne vorherige schriftliche Zustimmung der D-TRUST GMBH reproduziert, gespeichert oder in ein Speichersystem geladen oder übertragen werden. Unbeschadet des Voranstehenden ist es gestattet, diese Zertifikatsrichtlinie auf nichtexklusiver, gebührenfreier Basis zu reproduzieren und zu verteilen, sofern (i) der vorstehende Copyright-Vermerk und die einleitenden Absätze an deutlicher Stelle zu Beginn jeder Kopie erscheinen und (ii) dieses Dokument wortgetreu und vollständig wiedergegeben wird, beginnend mit der Nennung der D-TRUST GMBH als Verfasser des Dokuments. Anträge auf jede sonstige Genehmigung zur Reproduktion oder anderweitige Verwendung dieser Zertifikatsrichtlinie der D-TRUST GMBH sind zu richten an: D-TRUST GMBH Kommandantenstr Berlin, Germany Tel: +49 (0) info@d-trust.net

3 Dokumentenhistorie Version Datum Beschreibung Initialversion basierend auf D-TRUST Root PKI v Redaktionelle Anpassungen - Konkretisierung des Sperrverfahrens über das EIDM - Konkretisierung des Verfahrens bei Stellenwechsel innerhalb des E.ON-Konzerns Ergänzung einer Nutzung von Authentifikations- und Verschlüsselungszertifikaten der E.ON CA XXIII als Softtoken Ergänzung von Übergabeverfahren bei Organisationswechsel für Entschlüsselungsschlüssel mit gesperrten Verschlüsselungszertifikaten. Seite 2 von 41

4 Inhaltsverzeichnis 1. Einleitung Überblick Name und Kennzeichnung des Dokuments PKI-Teilnehmer Verwendung von Zertifikaten Pflege der CP/des CPS Begriffe und Abkürzungen Verantwortlichkeit für Verzeichnisse und Veröffentlichungen Verzeichnisse Veröffentlichung von Informationen zu Zertifikaten Häufigkeit von Veröffentlichungen Zugriffskontrollen auf Verzeichnisse Identifizierung und Authentifizierung Namensregeln Initiale Überprüfung der Identität Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung (re-keying) Identifizierung und Authentifizierung von Sperranträgen Betriebsanforderungen Zertifikatsantrag und Registrierung Verarbeitung des Zertifikatsantrags Ausstellung von Zertifikaten Zertifikatsübergabe Verwendung des Schlüsselpaars und des Zertifikats Zertifikatserneuerung (certificate renewal) Zertifikatserneuerung mit Schlüsselerneuerung Zertifikatsänderung Sperrung und Suspendierung von Zertifikaten Statusabfragedienst für Zertifikate Austritt aus dem Zertifizierungsdienst Schlüsselhinterlegung und wiederherstellung Nicht-technische Sicherheitsmaßnahmen Technische Sicherheitsmaßnahmen Profile von Zertifikaten, Sperrlisten und OCSP Zertifikatsprofile Sperrlistenprofile Profile des Statusabfragedienstes (OCSP) Überprüfungen und andere Bewertungen Sonstige finanzielle und rechtliche Regelungen Finanzielle Zuständigkeiten Vertraulichkeit von Geschäftsdaten Datenschutz von Personendaten Gewerbliche Schutz- und Urheberrechte Zusicherungen und Garantien Haftungsbeschränkungen Schadensersatz Gültigkeitsdauer der CP und Beendigung der Gültigkeit Individuelle Mitteilungen und Absprachen mit PKI-Teilnehmern Nachträge Bestimmungen zur Schlichtung von Streitfällen Einhaltung geltenden Rechts Andere Bestimmungen Seite 3 von 41

5 1. Einleitung 1.1 Überblick Dieses Dokument beschreibt die Zertifikatsrichtlinie (engl. Certificate Policy, kurz CP) der von der D-TRUST GMBH betriebenen E.ON SE PKI. Die E.ON SE PKI wird durch eine SubCA unterhalb der D-TRUST Root-PKI referenziert Vertrauensdiensteanbieter Der Vertrauensdiensteanbieter (Trust Service Provider, kurz TSP) ist die D-TRUST GMBH Kommandantenstr Berlin. Der TSP kann Teilaufgaben an Partner oder externe Anbieter auslagern, mit denen der TSP ordnungsgemäß dokumentierte Vereinbarung und ein etabliertes vertragliches Verhältnis bei Bereitstellung der Dienste unterhält. Die Verantwortung für die Einhaltung dieser CP tragen TSP-Leiter bzw. die Geschäftsführung des TSP Über dieses Dokument Diese CP stellt Vorgaben und Anforderungen an die Root-PKI und regelt somit den Zertifizierungsprozess während der gesamten Lebensdauer der End-Entity- Zertifikate (EE-Zertifikate) sowie das Zusammenwirken, Rechte und Pflichten der PKI-Teilnehmer 1. Diese CP ist Teil des extident-vertrages zwischen dem TSP und der E.ON SE und damit rechtsverbindlich, soweit dies im Rahmen der deutschen Gesetzgebung zulässig ist. Sie enthält Aussagen über Pflichten, Gewährleistung und Haftung für die PKI-Teilnehmer. Soweit nicht ausdrücklich genannt, erfolgen auf Basis dieser CP keine Zusicherungen oder Garantien im Rechtssinne. Die Rechtsverbindlichkeit sowie die Prozesse, die die Punkte a) Bereitstellung der CA, b) Produktion von Zertifikaten zu bereitgestelltem Schlüsselmaterial, c) Bereitstellung von Sperrlisten sowie d) Bereitstellung des OSCP-Dienstes betreffen, sind abschließend durch die Dokumente CP und CPS definiert. Sie unterliegen nicht dem deutschen Signaturgesetz und weiteren gesetzlichen Regelungen, die eine elektronische Signatur gleich welcher Art betreffen. Ein Verwendung von Begriffen, die denen aus dem deutschen Signaturgesetz ähneln 1 Im Interesse einer leichteren Lesbarkeit wird in diesem Dokument auf die weibliche Form der PKI-Teilnehmer und sonstigen genannten Personengruppen verzichtet. Es wird gebeten, die weibliche Form jeweils als eingeschlossen anzusehen. Seite 4 von 41

6 oder gleichen, ist nicht als Bezugnahme auf das deutsche Signaturgesetz anzusehen. Die Kenntnis der in dieser CP beschriebenen Zertifizierungsverfahren und - regeln sowie der rechtlichen Rahmenbedingungen erlaubt es Zertifikatsnutzern, Vertrauen in die Komponenten und PKI-Teilnehmer aufzubauen und Entscheidungen zu treffen, inwieweit das durch die PKI gewährte Vertrauensund Sicherheitsniveau für Anwendungen geeignet ist. Die Struktur dieses Dokumentes ist eng an den Internet-Standard RFC 3647 Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework angelehnt, um eine einfache Lesbarkeit und Vergleichbarkeit mit anderen CPs zu erreichen Eigenschaften der PKI Die Hierarchie der E.ON SE PKI ist mehrstufig. Abbildung 1 zeigt eine mögliche Konstellation der E.ON SE PKI. D-Trust Root CA E.ON Group CA E.ON CA XXI E.ON CA XXII E.ON CA XXIII Partner CA XXIV A E S A E S A E A E S E.ON Standard Endanwender E.ON Standard+ Endanwender E.ON Endanwender (mobil) Non E.ON Endanwender Abbildung 1 Struktur der ausstellenden CAs und Endanwender-Zertifikate Die EE- und CA-Zertifikate unterliegen dem Sicherheitsniveau LCP. LCP- Zertifikate sind hochwertige, aber nicht qualifizierte Zertifikate, die die Seite 5 von 41

7 Anforderungen von [ETSI-F] LCP erfüllen. E.ON SE verwendet unter der D-Trust Root CA eine E.ON SE Group CA und darunter die E.ON SE Issuing CAs, die die Endanwenderzertifikate ausstellen. Es werden Authentifizierungs-, Signatur- und Verschlüsselungszertifikate ausgegeben. 1.2 Name und Kennzeichnung des Dokuments Dokumentname: Kennzeichnung (OID): Zertifikatsrichtlinie der E.ON SE PKI Dieses Dokument erhält die Policy-OID: Version PKI-Teilnehmer Zertifizierungsstellen (CA) Die Zertifizierungsstellen (Certification Authority CA) stellen Zertifikate sowie Sperrlisten aus. Möglich sind folgende Arten von Zertifikaten: Personenzertifikate für natürliche Personen (EE-Zertifikat), Gruppenzertifikate für Personengruppen, Funktionen und IT-Prozesse (EE-Zertifikat), Zertifizierungsinstanzen (nachgeordnete CA-Zertifikate des TSP). Die Wurzelinstanzen stellen Zertifikate ausschließlich mit der Erweiterung basicconstraints: ca=true (CA-Zertifikat) gemäß [X.509] aus. Untergeordnete CAs stellen EE-Zertifikate und/oder weitere CA-Zertifikate aus. Die Zertifizierungsstelle ist in den ausgestellten Zertifikaten und CRLs namentlich im Feld issuer benannt. Das Personal für die Zertifikatserzeugung ist frei von kommerziellen, finanziellen und sonstigen Einflussnahmen der Organisation Registrierungsstellen (RA) Die E.ON SE als RA identifiziert und authentifiziert mit Hilfe definierter Prozesse (siehe Abschnitt 4) Endanwender, erfasst und prüft Anträge für verschiedene Zertifizierungsdienstleistungen Zertifikatnehmer (ZNE) Zertifikatnehmer (subscriber) ist die E.ON SE, welche die EE-Zertifikate beantragt und innehat. Der Zertifikatnehmer ist nicht mit dem im Zertifikat genannten subject identisch. Die Pflichten des Zertifikatnehmers unterliegen gesonderten vertraglichen Vereinbarungen. Seite 6 von 41

8 Die Verantwortung für Schlüssel und Inhalt des Zertifikats trägt der Zertifikatnehmer. Darüber hinaus ergeben sich nach [ETSI-F] weitere Pflichten. Spätestens zum Zeitpunkt der Antragstellung wird der Zertifikatnehmer diese Pflichten dem Endanwender kenntlich machen Endanwender (EE) Endanwender (subject; End-Entity (EE)) verwenden die privaten Endanwenderschlüssel (EE-Schlüssel). Die Identität des Endanwenders ist mit dem Zertifikat und dem zugehörigen Schlüsselpaar verknüpft. Zulässige Endanwender sind natürliche Personen oder Personengruppen, die eine mittels des Identitymanagement der E.ON SE (EIDM) verwaltete KonzernID besitzen, (z. B. E.ON Mitarbeiter oder Vertragspartner und Dienstleister mit einem aktiven IT-Konto) sowie Funktionen und IT-Prozesse Zertifikatsnutzer (ZNU) Zertifikatsnutzer (englisch relying parties) sind natürliche oder juristische Personen, die die Zertifikate dieser E.ON SE PKI nutzen (z.b. zur Verifikation signierter Dokumente) und Zugang zu den Diensten des TSP haben. 1.4 Verwendung von Zertifikaten Erlaubte Verwendungen von Zertifikaten CA-Zertifikate werden ausschließlich und in Übereinstimmung mit ihrer Erweiterung (BasicConstraints) gemäß [X.509] für die Ausstellung von CA- oder EE-Zertifikaten und CRLs benutzt. Die EE-Zertifikate dürfen für die Anwendungen benutzt werden, die in Übereinstimmung mit den im Zertifikat angegebenen Nutzungsarten stehen. Zertifikatsnutzer handeln auf eigene Verantwortung. Es liegt in der Verantwortung des Zertifikatsnutzers, einzuschätzen, ob diese CP den Anforderungen einer Anwendung entspricht und ob die Benutzung des betreffenden Zertifikats zu einem bestimmten Zweck geeignet ist Verbotene Verwendungen von Zertifikaten Andere Verwendungsarten als die im Zertifikat festgelegten sind nicht zulässig. 1.5 Pflege der CP/des CPS Zuständigkeit für das Dokument Diese CP wird durch die D-TRUST GMBH in Kooperation mit der E.ON Business Service GmbH gepflegt. Der TSP-Leiter der D-TRUST GMBH übernimmt die Abnahme des Dokuments Ansprechpartner/Kontaktperson/Sekretariat Eine Kontaktaufnahme kann über folgende Adressen erfolgen: Seite 7 von 41

9 D-TRUST GMBH Redaktion CP und CPS Kommandantenstr Berlin, Germany Tel: +49 (0) info@d-trust.net Die E.ON SE als Zertifikatnehmer wird vertreten durch die: E.ON Business Services GmbH Information Security Humboldtstraße 33, Hannover, Germany pki@eon.com Verträglichkeit von CPs fremder CAs mit dieser CP In dieser CP werden Mindestanforderungen beschrieben, die von allen PKI- Teilnehmern erfüllt werden müssen. Sowohl in CA- als auch in EE-Zertifikaten können weitere CPs über Policy-OIDs referenziert werden, die dieser CP nicht widersprechen. Die Referenz einer Policy-OID in den Zertifikatserweiterungen bestätigt seitens der CA die Kompatibilität der Zertifizierungspraktiken mit der referenzierten CP (LCP ( gemäß [ETSI-F]). 1.6 Begriffe und Abkürzungen Deutsche Begriffe und Namen Authentifizierungszertifikat Bestätiger CA-Zertifikat D-TRUST Root CA D-TRUST Root-PKI E.ON SE PKI EE-Schlüssel Zertifikat, mit dem sich ein Endanwender gegenüber einem IT-System authentifizieren kann Mitarbeiter oder Vorgesetzte, die im Standard und Standard+ Prozess die Identität der Kollegen für die Zertifikatsanträge bestätigen. das für eine Zertifizierungsinstanz ausgestellte Zertifikat zum Signaturschlüssel der Certification Authority Wurzelzertifizierungsstelle, Von der D-TRUST GMBH betriebene PKI. Von der D-TRUST GMBH für E.ON SE betriebene PKI Auch Endanwenderschlüssel, privater Schlüssel der EE-Zertifikate Seite 8 von 41

10 EE-Zertifikat Endanwender End-Entity-Zertifikat Global Service Desk History-Zertifikate KonzernID Auch Endanwenderzertifikat, siehe End- Entity-Zertifikat. Auch Subject, die Identität des Endanwenders ist mit dem Zertifikat und dem zugehörigen Schlüsselpaar verknüpft, siehe auch Abschnitt Zertifikat, das nicht zum Zertifizieren anderer Zertifikate oder CRLs verwendet werden darf. Hierunter fallen Signaturzertifikate, Authentifizierungszertifikate und Verschlüsselungszertifikate. EE-Zertifikate dürfen nur für die Anwendungen benutzt werden, die in Übereinstimmung mit den im Zertifikat angegebenen Nutzungsarten stehen. Globaler Service Desk der HP für die Endanwender der E.ON SE PKI (GSD). Abgelaufene Verschlüsselungszertifikate, deren Schlüssel zur späteren Entschlüsselung von Daten gespeichert und von berechtigten Endanwendern wiederhergestellt werden können. Eindeutige, aber nicht ein-eindeutige und nicht wiederverwendbare IT Kennung jedes IT Endanwenders im globalen Verzeichnis der E.ON SE. Nur natürliche Personen erhalten primäre KonzernIDs und können damit Endanwender-Zertifikate erhalten, solange sie aktiv sind. Zweit-KonzernIDs (z.b. für Gruppenpostfächer) sind auch immer einer natürlichen Person als Besitzer zuzuordnen, es ist also immer eine verantwortliche natürliche Person eindeutig identifizierbar. Attribute (Eigenschaften) die einer KonzernID zugeordnet werden können, werden über auditierte Prozesse aus dem HR und Vertragsmanagementsystemen angelegt und gepflegt. LCP-Zertifikat EE-Zertifikat, welches gemäß ETSI TS LCP erstellt wurde Seite 9 von 41

11 PKI-Supervisoren PKI-Token Q-Umgebung Registrierungsstelle Signaturkarte / Smartcard Signaturzertifikat Sperrberechtigter (Dritter) Statusabfragedienst Verpflichtungserklärung Verschlüsselungszertifikat PKI-Supervisoren bilden die zentrale Schnittstelle zwischen der E.ON SE und D- TRUST GmbH in allen Prozessfragen des extident-vertrags inkl. CP und CPS für die E.ON SE PKI. Diese Gruppe beantwortet Fragen zu allen PKI-Prozessen der E.ON SE PKI und entscheidet alle E.ON internen Anfragen für die E.ON SE PKI in Übereinstimmung mit dem extident-vertrag inkl. CP und CPS. Für die E.ON PKI werden unter der Bezeichnung PKI-Token verschiedene Formfaktoren von Smartcards eingesetzt, welche alle mit Hilfe eines Smartcardmanagementsystems verwaltet werden. Zu den PKI-Token zählen momentan ISOkonforme Smartcards sowie Smartcards in der Form eines USB-Token und einer microsd-karte. PKI Token, USB-PKI Token, Smartcard und PKI-Medium werden in Anleitungen und Dokumentationen synonym verwendet. Qualitätssicherungs-Systeme, die der Erprobung von Konfigurationsänderungen und Upgrades dienen. Registration Authority - (RA), Einrichtung der PKI, die die Teilnehmeridentifizierung vornimmt, siehe Abschnitt Prozessorchipkarte, die für die Erzeugung elektronischer Signaturen und für andere PKI-Anwendungen benutzt werden kann. Sie wird in verschiedenen Formfaktoren eingesetzt wie ISO-konformer Smartcard, USB-Token oder auch microsd-format. Zertifikat, das für die Erstellung elektronischer Signaturen verwendet wird Natürliche oder juristische Person, die zur Sperrung eines Zertifikats berechtigt ist. PKI-Dienstleistung zur Online-Abfrage über den Status eines Zertifikats (OCSP) Belehrung des Endanwenders über dessen Pflichten im Umgang mit EE-Schlüsseln und Zertifikaten Zertifikat, das für die Verschlüsselung elektronischer Daten verwendet wird Seite 10 von 41

12 Vertrauensdiensteanbieter Verzeichnisdienst Zertifikatnehmer Zertifikatsnutzer Anbieter von Zertifizierungs- bzw. Vertrauensdiensten (kurz TSP; vormals auch: ZDA). PKI-Dienstleistung zum Online-Abrufen von Informationen, wie Zertifikaten und Sperrlisten, erfolgt i. d. R. über das LDAP- Protokoll. Auch Subscriber, natürliche oder juristische Personen, die EE-Zertifikate beantragen und innehaben, siehe Abschnitt Relying Party, natürliche oder juristische Personen, die Zertifikate nutzen, siehe Abschnitt Zertifikatsrichtlinie Certificate Policy - (CP), siehe Abschnitt 1.1. Zertifizierungsstelle Englische Begriffe Certificate Policy (CP) Certification Authority - (CA), Instanz der Root PKI, siehe Abschnitt Zertifikatsrichtlinie. Certification Authority (CA) Instanz der Root PKI, siehe Abschnitt Distinguished Name Registration Authority (RA) Soft-PSE / Softtoken Token Trustcenter Trust Service Provider Abkürzungen Ein aus mehreren Namensbestandteilen bestehender technischer Name, der in Zertifikaten die ausstellende CA und/oder den Zertifikatnehmer innerhalb der Root PKI eindeutig beschreibt. Der Distinguished Name ist im Standard [X.501] definiert. Registrierungsstelle, Einrichtung der PKI, die die Teilnehmeridentifizierung vornimmt, siehe Abschnitt Software Personal Security Environment, auch Software-Token genannt, enthalten das EE- Schlüsselpaar, das EE-Zertifikat sowie das Zertifikat der ausstellenden CA-Instanz. Trägermedium für Zertifikate und Schlüsselmaterial. Der Sicherheitsbereich in den Räumen der D-TRUST GMBH. Vertrauensdiensteanbieter BRG CA Baseline Requirements Guidelines Certification Authority Seite 11 von 41

13 CN CP CPS CRL DN EAL EIDM FIPS FQDN GSD HSM ISO KID LCP LDAP NetSec-CAB OCSP OID PIN PKI PUK RA RFC SCM SSCD SUD TSP URL UTF8 Common Name Certificate Policy Certification Practice Statement Certificate Revocation List Distinguished Name Evaluation Assurance Level E.ON Identity Management-System Federal Information Processing Standard Fully qualified domain name Global Service Desk Hardware Security Module International Organization for Standardization E.ON SE KonzernID Lightweight Certificate Policy Lightweight Directory Access Protocol Network Security Requirements- CA/Browser Forum Online Certificate Status Protocol Object Identifier Personal Identification Number Public Key Infrastructure Personal Unblocking Key Registration Authority Request for Comment Smartcardmanagement-System Secure Signature Creation Device Secure Endanwender Device Vertrauensdiensteanbieter (vormals ZDA) Uniform Resource Locator Unicode Transformation Format Referenzen [AGB] [BRG] Allgemeine Geschäftsbedingungen der Bundesdruckerei GmbH für den Verkauf von Zertifizierungsdiensten der D-TRUST, aktuelle Version Baseline Requirements des CA/Browser Form, CA/Browser Forum, Version 1.3.0, 16. April 2015 Seite 12 von 41

14 [CP] [CPS] Zertifikatsrichtlinie der E.ON SE PKI, D-TRUST GMBH, aktuelle Version Certification Practice Statement der E.ON SE PKI, D-TRUST GMBH, aktuelle Version [Co-PKI] Common PKI Specification, Version 2.0 vom 20. Januar 2009 [ETSI-F] [GL-BRO] [ISO 3166] ETSI, Technical Specification Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates, ETSI TS V2.4.1, Feb Guidelines for Issuance and Maintenance of Extended Validation Certificates, CA/Browser Forum, Version 1.5.5, 16. April 2015 ISO :1997: Codes for the representation of names of countries and their subdivisions - Part 1: Country codes [NetSec-CAB] CA / Browser Forum Network and Certificate System Security Requirements, Version 1.0, [RFC 2247] [RFC 2560] [RFC 3647] [RFC 5280] [SigG] Using Domains in LDAP/X.500 Distinguished Names, January 1998 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP, June 1999 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, November 2003 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, Mai 2008 Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz SigG) vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 17. Juli 2009 (BGBl. I S. 2091) [SigV] Verordnung zur elektronischen Signatur vom 16. November 2001 (BGBl. I., S. 3074), zuletzt geändert durch die Verordnung vom 5. November 2010 (BGBl. I S. 1542)) [SiKo-DTR] Sicherheitskonzept des signaturgesetzkonformen Zertifizierungsdiensteanbieters D-TRUST GMBH [X.501] ITU-T RECOMMENDATION X.501, Information technology Open Systems Interconnection The Directory: Models, Version August 2005 [X.509] ITU-T Recommendation X.509 (1997 E): Information Technology Open Systems Interconnection The Directory: Authentication Framework, June 1997 Seite 13 von 41

15 2. Verantwortlichkeit für Verzeichnisse und Veröffentlichungen 2.1 Verzeichnisse Der TSP veröffentlicht CRLs und CA Zertifikate im LDAP-Verzeichnis unter: ldap://directory.d-trust.net (Internet) bzw. ldap://cdp-ldap.intranet.eon.com (E.ON intern) Die vollständigen zertifikatsspezifischen Links sind den Zertifikaten selbst zu entnehmen. Die CA Zertifikate können zusätzlich über den folgenden http-pfad bezogen werden: (E.ON intern) Die CRLs können zusätzlich über den folgenden http-pfad bezogen werden: (E.ON intern) Der TSP stellt einen Online-Dienst (OCSP) zur Abfrage des Sperrstatus von Zertifikaten der E.ON SE PKI zur Verfügung. Der Status der Zertifikate kann dort bis mindestens ein Jahr nach Ablauf der Gültigkeit der Zertifikate abgerufen werden. Diese CP, und die Verpflichtungserklärung (Subscribers Obligations) können im PDF-Format von den Antragsseiten der E.ON SE herunter geladen werden. ( Weitere Informationen bzw. Nutzungsbedingungen außerhalb dieser CP werden dem Endanwender während des Registrierungsprozesses zur Verfügung gestellt. 2.2 Veröffentlichung von Informationen zu Zertifikaten Der TSP veröffentlicht folgende Informationen zur E.ON SE PKI: CA-Zertifikate (Trust-Anchor), Sperrlisten (CRLs) und Statusinformationen, diese CP. Das CPS ist bei berechtigtem Interesse sowohl über die D-TRUST GmbH als auch über E.ON SE in Auszügen erhältlich. EE-Zertifikate werden in der E.ON SE PKI grundsätzlich nicht durch den TSP veröffentlicht. 2.3 Häufigkeit von Veröffentlichungen CA-Zertifikate werden nach ihrer Erstellung veröffentlicht und mindestens 1 Jahr und bis zum Jahresende nach Ablauf der Gültigkeit der CA vorgehalten. Seite 14 von 41

16 Sperrlisten werden regelmäßig und bis zum Ende der Gültigkeit des ausstellenden CA-Zertifikats ausgestellt. Sperrlisten werden unmittelbar nach Sperrungen erstellt und veröffentlicht. Auch wenn keine Sperrungen erfolgen, stellt der TSP sicher, dass mindestens alle 72 Stunden Sperrlisten ausgestellt werden. Die Sperrlisten werden mindestens ein Jahr nach Ablauf der Gültigkeit der CA vorgehalten. Diese CP wird wie unter Abschnitt 2.1 genannt veröffentlicht und bleibt dort mindestens so lange abrufbar, wie Zertifikate, die auf Basis dieser CP ausgestellt wurden, gültig sind. 2.4 Zugriffskontrollen auf Verzeichnisse CA-Zertifikate, Sperrlisten und CPs können öffentlich und unentgeltlich abgerufen werden. Es gibt keine Zugriffsbeschränkungen für lesenden Zugriff. Änderungen der Verzeichnis- und Webinhalte werden ausschließlich vom TSP vorgenommen. Weitere, nicht öffentliche Dokumente, können bei begründetem Interesse auf Nachfrage in den relevanten Teilen ausgegeben werden. Seite 15 von 41

17 3. Identifizierung und Authentifizierung 3.1 Namensregeln Arten von Namen CA- und EE-Zertifikate enthalten grundsätzlich Angaben zu Aussteller (issuer) und Zertifikatnehmer bzw. Endanwender (subject). Diese Namen werden entsprechend dem Standard [X.501] als DistinguishedName vergeben. Weitere alternative Namen können registriert und in die subjectaltname- Erweiterung der Zertifikate aufgenommen werden Notwendigkeit für aussagefähige Namen Der verwendete DistinguishedName ist eindeutig innerhalb der E.ON SE PKI. Eine eindeutige Zuordnung des Zertifikats zum Endanwender ist durch die Verwendung der E.ON KonzernID gegeben. Bei alternativen Namen (subjectaltname gemäß [X.509]) gibt es keine Notwendigkeit für aussagefähige Namen. Diese Angaben dürfen keine Referenzen auf das Zertifikat selbst enthalten. IP- Adressen sind nicht zugelassen Anonymität oder Pseudonyme von Zertifikatnehmern Pseudonyme werden ausschließlich für natürliche Personen benutzt. KonzernIDs, die bei Authentifizierungzertifikaten als Pseudonym im CN verwendet werden, bestehen ausschließlich aus einem lateinischen Buchstaben gefolgt von mindestens vier arabischen Ziffern. Diese KonzernIDs werden nicht gesondert als Pseudonym gekennzeichnet (persönliche und eindeutige KonzernID der E.ON SE) Regeln für die Interpretation verschiedener Namensformen Das Verfahren für die Aufnahme bzw. Interpretation der Namen ist im [CPS] definiert. Die Attribute des DistinguishedNames (DN-Bestandteile) von EE-Zertifikaten werden wie folgt interpretiert: Seite 16 von 41

18 DN-Bestandteil Interpretation CN Gebräuchlicher Name: Folgende Varianten werden verwendet: - Natürlichen Personen ohne Pseudonym: (optional)akademischer Titel<Leerzeichen>Vorname<Leerzeichen>Familienname. - Natürliche Personen mit Pseudonym: Pseudonym:PN oder Pseudonym, wenn dieses ausschließlich aus einem lateinischen Buchstaben, gefolgt von mindestens vier arabischen Ziffern besteht (Persönliche und eindeutige KonzernID innerhalb der E.ON SE. - Funktion oder Personengruppe: Teambezeichnung gebildet aus -Präfix und Team Certificate. serialnumber Seriennummer: Namenszusatz, welcher die Eindeutigkeit des DNs sicherstellt (Persönliche und eindeutige KonzernID innerhalb der E.ON Gruppe). O Offizielle Bezeichnung der Organisation, der zugehörigen PKI- Struktur (E.ON SE bzw. eon). OU (optional) OU-Felder werden ausschließlich zu technischen Zwecken befüllt. C Das aufzuführende Land wird gemäß [ISO 3166] notiert und ergibt sich wie folgt: Ist eine Organisation O im DistinguishedName aufgeführt, so bestimmt der Sitz der Organisation das Land C. Die Schreibweise von Namen im Zertifikat wird durch die EIDM-Pflegeprozesse bestimmt. Im Zweifelsfall sind die Personen durch den Zertifikatnehmer eindeutig über die KonzernID identifizierbar. Es müssen nicht alle oben genannten DN-Bestandteile verwendet werden. Weitere können ergänzt werden. Ergänzende DN-Bestandteile müssen [RFC 5280] und [Co-PKI] entsprechen Eindeutigkeit von Namen Der TSP stellt sicher, dass ein in EE-Zertifikaten verwendeter Name (DistinguishedName) des Zertifikatnehmers bzw. des Endanwenders (Feld subject) innerhalb der E.ON SE PKI und über den Lebenszyklus des Zertifikats hinaus stets eindeutig ist und stets dem gleichen Zertifikatnehmer bzw. Endanwender zugeordnet ist. Die Eindeutigkeit wird mittels der KonzernID erzielt. Dadurch ist die eindeutige Identifizierung 2 des Zertifikatnehmers anhand des im EE-Zertifikat verwendeten Namens (subject) gewährleistet. Einem Endanwender können unter Umständen mehrere KonzernIDs zugewiesen sein. 2 Unter Identifizierung sind hier die Benennung des Zertifikatnehmers und dessen zum Zeitpunkt der Erstantragstellung (nicht Folgeantrag) aktuellen Daten zu verstehen. Nicht gemeint ist das Eruieren aktueller Daten oder das Auffinden des Zertifikatnehmers zu einem späteren Zeitpunkt. Seite 17 von 41

19 Im Rahmen der E.ON SE PKI wird die Eindeutigkeit von Benutzerzertifikaten durch Angabe der KonzernID im Zertifikatssubject dauerhaft (auch über Namensänderungen z.b. durch Heirat etc. hinweg) erreicht. Der TSP stellt die Eindeutigkeit von DistinguishedNames in CA-Zertifikaten sicher Anerkennung, Authentifizierung und die Rolle von Markennamen Der Zertifikatnehmer haftet für die Einhaltung geistiger Eigentumsrechte in den Antrags- und Zertifikatsdaten (siehe Abschnitt 9.4). 3.2 Initiale Überprüfung der Identität Nachweis für den Besitz des privaten Schlüssels Schlüsselpaare werden im Verantwortungsbereich des Zertifikatnehmers produziert. Der Besitz des privaten Schlüssels muss entweder technisch nachgewiesen werden oder vom Zertifikatnehmer nachvollziehbar bestätigt werden Identifizierung und Authentifizierung von Organisationen Zertifikate für juristische Personen werden nicht angeboten. Organisationen, die im Zertifikat genannt werden sind Tochter- und Partnerunternehmen der E.ON SE bzw. Unternehmen, an denen die E.ON SE eine Beteiligung hält. E.ON SE übernimmt als RA die Authentifizierung der Organisationen, welche im Zertifikat genannt werden Identifizierung und Authentifizierung natürlicher Personen Natürliche Personen, für die Zertifikate beantragt und die im Zertifikat benannt werden, müssen sich eindeutig authentisieren und ihre Berechtigung zur Antragstellung durch die Organisation nachweisen. E.ON SE übernimmt als dafür vom TSP beauftragte RA die Authentifizierung von Endanwendern, welche im Zertifikat genannt werden. Es gelten die Anforderungen aus Abschnitt und Ungeprüfte Angaben zum Zertifikatnehmer Die Angaben des Zertifikatnehmers werden entsprechend den Abschnitten und geprüft bzw. nicht geprüft Prüfung der Berechtigung zur Antragstellung Anträge dürfen von natürlichen Personen gestellt werden. Die Verfahren sind im CPS definiert. Seite 18 von 41

20 3.2.6 Kriterien für die Interoperabilität Siehe Abschnitt Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung (re-keying) Eine Schlüsselerneuerung wird nicht durchgeführt. 3.4 Identifizierung und Authentifizierung von Sperranträgen Der TSP prüft vor der Sperrung eines EE-Zertifikates die Berechtigung des Sperrantragstellers zur Antragstellung. Die Sperrberechtigung wird wie folgt geprüft: Bei einem Sperrantrag, der in einer signierten eingeht, muss der Sperrantragsteller entweder der Zertifikatnehmer selbst sein oder als sperrberechtigter Dritter benannt worden sein, dessen in der Sperr- verwendetes Signaturzertifikat dem TSP vorliegen muss. Bei einer Sperrung über die Online-Schnittstelle wird die Übertragung einerseits durch ein SSL Zertifikat abgesichert und der Sperrauftrag an sich mit einer technischen Signatur versehen. Weiterhin wird bei mit dem Sperrantrag, das Sperrpasswort an den TSP übertragen. Sperranträge über die Online-Schnittstelle können auch für Dritte innerhalb der E.ON SE PKI gestellt werden. Hierzu ist es notwendig, dass der Sperrende im Auftrag mit seinem gültigen Authentifizierungszertifikat aus der CA XXI oder CA XXII am Smartcardmanagementsystem angemeldet und somit authentifiziert ist. Andere Verfahren zur Authentifizierung von Sperranträgen können mit dem Zertifikatnehmer vereinbart werden. Sperrverfahren werden in Abschnitt 4.9 definiert. Seite 19 von 41