Die Klassen der Swiss Government PKI

Ähnliche Dokumente
Infoanlass: Austausch der SSL/TLS Zertifikate

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

PREISE ZERTIFIKAT-PRODUKTE. November solutions

Antragsformular für Standard Klasse C- Zertifikate der Swiss Government PKI V1.5

Public Key Infrastructure (PKI) bei Volkswagen Jörg Matthies Volkswagen AG Wolfsburg Brieffach 1804 IT Group Client Services

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 6.4 Berlin, September Copyright 2018, Bundesdruckerei GmbH

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 5.1 Berlin, April Copyright 2017, Bundesdruckerei GmbH

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 5.7 Berlin, November Copyright 2017, Bundesdruckerei GmbH

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 6.2 Berlin, Juni Copyright 2018, Bundesdruckerei GmbH

SCESm-Verzeichnis Akkreditierungsnummer: SCESm 0071

Volkswagen Public Key Infrastructure

Berechtigung zum Bezug von (EV)SSL Zertifikaten der Swiss Government PKI V2.0

Programmiertechnik II

Neues aus der DFN-PKI. Jürgen Brauckmann

Zertifizierungsrichtlinien

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar Copyright 2016, Bundesdruckerei GmbH

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.0 Berlin, November Copyright 2013, Bundesdruckerei GmbH

Manuelles Enrollment Domain Controller Zertifikate

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 4.4 Berlin, Februar Copyright 2017, Bundesdruckerei GmbH

CP/CPS Stadt Zuerich PKI 2.0

PKI-Lösungen in Windows-Netzwerken

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.5 Berlin, März Copyright 2015, Bundesdruckerei GmbH

Certificate Transparency: Warum macht Google das?

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

Erfolgsgeschichten phion airlock ICAP Module

Sicherheits- und Zertifizierungskonzept Certificate Policy

Einführung PKI-Wizards und Zertifikate Klasse B Prestaged

Manuelles Enrollment Zertifikate von Klasse E System Templates Anleitung

X.509v3 Zertifizierungsinstanz der Universität Würzburg

Systemvoraussetzungen Mobile Client Version 16.0

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Status in Arbeit in Prüfung genehmigt zur Nutzung. Salvatore Tomasulo, Gianni Colangelo. Gruppenmailboxzertifikatsbesitzer und -Benutzer

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

LDAP over SSL. Das neue LDAPS-Server Zertifikat muss die x.509 Zertifikat Erweiterung erfüllen.

Mobile Clients Version 17.0

Richtlinie. Zertifikate im FI-TS Trustcenter

Open Source Public Key Infrastrukturen mit OpenXPKI

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Webseiten mit HTTPS bereitstellen und mit HSTS sichern

1. Sept Über Keyon

22. Sept Über Keyon. Experten im Bereich IT-Sicherheit und Software Engineering

BE-KWP: Persönliches Zertifikat

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

TLS nach TR Checkliste für Diensteanbieter

Preis- und Leistungsverzeichnis der Host Europe Suisse AG SSL V 1.0. Stand:

Ausführungsbestimmungen der Zertifizierungsrichtlinien

Unified-E OPC-UA Adapter

Basisanwendung für sichere elektronische Kommunikation in der Bayerischen Verwaltung - 2. Bayerisches Anwenderforum egovernment

HowTo own SSL Certificate on DSR-Series (neue WebGUI)

Qualifizierte Signaturkarten

Trustcenter der Deutschen Rentenversicherung

Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA).

Windows 2003 PKI: Einführung und Neuerungen. Referent: Marc Grote -

Whitepaper. Produkt: combit Relationship Manager. HowTo: Microsoft SQL Server SSL-Verschlüsselung aktivieren

Enterprise Web-SSO mit CAS und OpenSSO

- Blockieren der x x - Entfernen von Anhängen x x Hochladen von Anhängen ins Web Portal mit optionaler Quarantäne.

Einführung in die Windows Server 2003 PKI 16.Mai A05

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Schulung LRA-Officer Klasse B

Implementierung Smartcard Aladdin E-Token pro für Domänen-Anmeldung. USB Smart Card Reader und USB Token der Fa. Aladdin (E-Token Pro)

Netzwerksicherheit Übung 5 Transport Layer Security

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

ein ZertES-konformes Signatur-Token

!" == TeleSec. Digitale Signatur / PKI =====!" Informationsveranstaltung Detmold, Leopoldstr

Windows Server 2016 PKI. Marc Grote

CP/CPS Stadt Zuerich CAs

Zertifikate Swiss Government SSL CA 01

Qualifizierte Signaturkarten

Bibliografische Informationen digitalisiert durch

Checkliste. Installation NCP Secure Enterprise Management

Anwendung Rechnernetze. 7.Semester INF - WS 2005/2006 Vorstellung der Projekte (Prof. Dr. Uwe Heuert)

Access Gateway 2.0. Gateway Lösung zur Nutzung von HIN Identitäten. Oktober 2016 Aaron Akeret

Unterstützte Umgebungen und Testsuite

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

PKI Implementierung. PKI Teil II: Implementierung Elke Stangl Microsoft Consulting Services. Planung und Design

eidas-vertrauensdienste als neue Standardverfahren EDV-Gerichtstag Symposium bea+

SecDocs. Archivservices im Kontext elektronischer Personenstandsregister

Digitale Identitiäten bei der Schweizerischen Post. Im Wandel der Zeit. B. Fiedler, PF56 G. Manetsch, IT5

SSL/TLS und SSL-Zertifikate

Netzwerksicherheit Übung 5 Transport Layer Security

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

SuisseID Signature Services

Managed PKI & the world according to eidas

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

PKI CA / SubCA mit openssl

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

WinEP. Benutzerhandbuch. IT-Dienstleistungszentrum des Freistaats Bayern. Landesamt für Digitalisierung, Breitband und Vermessung

Kryptografie und Public-Key-lnfrastrukturen im Internet

Freie Zertifikate für Schulen und Hochschulen

Transkript:

Die Klassen der Swiss Government PKI PKI ERFA-Tagung Frühling 2015

Zertifikate identifizieren Maschinen, Personen, Organisationen und Systeme Personen - Sind natürliche Personen, welche durch eine entsprechende Ausweisschrift identifiziert werden können. Organisationen Sind Organisationen, welche über eine Unternehmens-ID (UID) verfügen und im entsprechenden Register aufgeführt sind. Organisationen werden durch Personen vertreten, welche für diese Organisation entsprechend unterschriftsberechtigt sind. Maschinen Sind Clients oder Server, welche sich durch eine überprüfbare FQDN identifizieren. Der registrierte Inhaber der Domain muss den Antragsteller autorisieren. Systeme Sind logische Konstrukte, welche einen beschriebenen Zustand darstellen. Systeme werden durch Personen oder Organisationen beschrieben und plausibilisiert. 2

Audits und Zertifizierungen Swiss Government Root CA I Zertifiziert nach ETSI TS 102 042 Zertifiziert nach ZertES für qualifizierte Zertifikate Swiss Government Root CA II Zertifiziert nach ETSI TS 104 456 Windows PKI Intra CC-Enterprise Nicht Zertifiziert Alle ausgestellten Zertifikate der SG-PKI Root CAs Klassen A bis D werden durch interne und externe Audits entsprechend den jeweils geltenden Richtlinien (ZertES, ETSI etc.) geprüft. Neu: Klare Trennung von Standard und Kundenspezifischen Zertifikaten PKCS#12 File kann nicht mehr durch SG-PKI erstellt werden 3

Swiss Government Root CA I Swiss Government Root CA I Swiss Government Enhanced CA 01 Swiss Government Enhanced CA 02 Swiss Government Qualified CA 01 Zertifikate: - Klasse B (aktuell) Zertifikate: - Klasse B (neue Prozesse) Zertifikate: - Klasse A 4

Swiss Government Root CA II Swiss Government Root CA II Swiss Government Regular CA 01 Swiss Government SSL CA 01 Swiss Government EV SSL CA 01 Zertifikate: Persönlich Organisationen Systeme Zertifikate : SSL Webserver Code Signing EV Extended Validation Zertifikate : EV SSL Webserver EV Code Signing Legende: aktuell geplant 5

Zertifikatsklassen Übersicht Klasse A Qualifizierte Zertifikate (ZertES) auf Smartcard TSA TimeStamping Authority Die TSA ist Teil der Qualified CA Infrastruktur (Klasse A) und wird nur im Kontext angeboten, wird aber zukünftig ein Teil der Signatur- und Validationsdienste werden. Klasse B Fortgeschrittene Zertifikate auf Smartcard Klasse C Standardzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse D Spezialzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse E Zertifikate für Maschinen und Systeme, welche ausschliesslich innerhalb der Bundesverwaltung verwendet werden 6

Ausstellprozesse Certified PKI Certified PKI Zertifikate können über folgende Ausstellprozesse bezogen werden: Certified PKI LRA Plattform Zertifikate werden durch ausgebildete und sicherheitsüberprüfte LRA Officer vor Ort ausgestellt RAaaS (Registration Authority as a Service) Zertifikate werden über eine WSS/SOAP Webservice Schnittstelle ausgestellt CSR upload Der Zertifikatsantrag (PKCS#10) wird via Webinterface hochgeladen 7

Certified PKI - Klasse A Certified PKI Qualifizierte Zertifikate (ZertES) Personen Qualifizerte Signatur Ausstellung nur über neue CMC LRAO Zusatzausbildung Klasse A notwendig Die TSA wird Teil der Signatur- und Validationsdienste werden 8

Certified PKI - Klasse B Certified PKI Fortgeschrittene Zertifikate auf Smartcard Personen - Authentifikation Personen - Signatur Personen - Verschlüsselung Organisationszertifikate der Klasse B können als neue Policy erstellt werden sobald die Technische Ausführungs Verordnung (TAV) der revidierten ZertES bekannt ist. Ausstellung nur über LRA 9

Certified PKI - Klasse C Standardzertifikate für Personen, Organisationen und Systeme Zertifikate ausgestellt für: - Personen - Organisationen - Systeme In den Ausprägungen: - Client Authentifikation (Client Auth) - Signatur (Sign) - Verschlüsselung (Encrypt) Für jedes Certified PKI Standardzertifikat der Klasse C wird ein spezifisches Lösungsmuster erstellt, welches den korrekten Einsatz und den definierten Ausstellprozess beschreibt. Die Anforderungen der internationalen Standards müssen eingehalten werden. Die Zertifikate sind «Public Trust» fähig Ausstellung über LRA, RAaaS oder CSR upload 10

Certified PKI - Klasse C Standardzertifikate für Personen, Organisationen und Systeme - Raster Certified PKI Ausprägung Client Auth Server Auth Signature Encryption Subject CN Person Auth yes explicit no no no Person (Name) Organization Auth yes explicit no no no Organisation (Name + UID) System Auth yes explicit no no no System (Name) Person Auth/Sign yes explicit no yes no Person (Name) Organization Auth/Sign yes explicit no yes no Organisation (Name + UID) System Auth/Sign yes explicit no yes no System (Name) Person Auth/Sign/Encrypt yes explicit no yes yes Person (Name) Organization Auth/Sign/Encrypt yes explicit no yes yes Organisation (Name + UID) System Auth/Sign/Encrypt yes explicit no yes yes System (Name) Person Sign/Encrypt no explicit no yes yes Person (Name) Organization Sign/Encrypt no explicit no yes yes Organisation (Name + UID) System Sign/Encrypt no explicit no yes yes System (Name) Gruppenmailbox (specific Org S/E) no explicit no yes yes Mailbox (Name + e-mail) 11

Certified PKI - Klasse C SSL/TLS Standardzertifikate für Maschinen zur Authentisierung von SSL/TLS Verbindungen SSL CA 01 Zertifikate (CN=FQDN) SSL Server Zertifikat (https://) SSL Server Zertifikat Wildcard (*.dn.tld) SSL Server Zertifikat SAN (dn1.dn.tld; dn2.dn.tld ) SSL Client Zertifikat (SSL Client Auth) SSL Client/Server Zertifikat (https:// und Client Auth) EV SSL CA 01 Zertifikate (CN=FQDN) EV SSL Server Zertifikat (https://) EV SSL Server Zertifikat SAN (dn1.dn.tld; dn2.dn.tld ) Für Certified jedes PKI Standardzertifikat der Klasse C wird ein spezifisches Lösungsmuster erstellt, welches den korrekten Einsatz und den definierten Ausstellprozess beschreibt. Die Anforderungen der internationalen Standards müssen eingehalten werden. Die Zertifikate sind «Public Trust» fähig Ausstellung über LRA, RAaaS oder CSR upload 12

Certified PKI - Klasse C Code Signing Standardzertifikate für Personen zum Signieren von Programmen (Code) Certified PKI CodeSigning Zertifikate werden für Personen ausgestellt können aber als CN eine Organisation haben. SSL CA 01 Zertifikate (CN=Name) CodeSigning Zertifikat (ETSI Standard) EV SSL CA 01 Zertifikate (CN=Name) EV CodeSigning Zertifikat (Hardtoken/ETSI Standard) 13

Certified PKI - Klasse D Spezialzertifikate für Maschinen, Personen, Organisationen und Systeme Kundenspezifische Soft-Zertifikate Certified PKI Beispiele: Organisations-Zertifikate Sedex (Auth,Sign,Encrypt) Organisations-Zertifikate ZKV (Auth) System-Zertifikate edoc (Auth) Kundenspezifische Zertifikatstypen werden per DLV oder PVE beantragt Jedes Kundenspezifische Zertifikat erhält eine eigene Policy und OID Betriebskosten werden im SLA pro Policy abgebildet Die Anforderungen der internationalen Standards müssen eingehalten werden Zertifikate sind «Public Trust» fähig Ausstellung über LRA, RAaaS oder CSR upload 14

Enterprise PKI Windows Enterprise PKI Klasse E C-Enterprise Softzertifikate für Personen (EOL Juni 2015) CC-Enterprise Softzertifikate für Maschinen Windows Enterprise PKI Zertifikate werden neu als Klasse E bezeichnet Zertifikate der Klasse E werden ab einer nicht zertifizierten Windows PKI erstellt und erfüllen die BV internen Anforderungen an Sicherheit und Nachvollziehbarkeit analog dem Active Directory Werden aber nicht durch ein Zertifizierungsverfahren oder Audit bestätigt und sind deshalb nicht «public trust» fähig. 15

Ausstellprozesse «Klasse E» Windows Enterprise PKI Für Router und Netzwerkgeräte: Manuelles Enrollment über PKCS#10 NDES (SCEP), wenn das Gerät SCEP unterstützt Windows Enterprise PKI Für Unix-Maschinenzertifikate: Manuelles Enrollment über PKCS#10 NDES (SCEP), wenn ein SCEP-Client vorhanden ist Für Windows Server in Workgroup-Mode Manuelles Enrollment über PKCS#10 Enrollment über CES/CEP kein Autoenrollment möglich ohne Domänenmitgliedschaft zusätzliche Templates sind bei Bedarf möglich Für Windows Server in Forest ohne Microsoft CA Manuelles Enrollment über PKCS#10 Enrollment über CES/CEP Cross-Forest (Auto-) Enrollment 16

Klasse E Technische Zertifikate für Personen, Organisationen, Maschinen und Systeme Windows Enterprise PKI Zertifikate werden neu als Klasse E bezeichnet Zertifikate der Klasse E werden ab einer nicht zertifizierten Windows PKI erstellt und erfüllen die BV internen Anforderungen an Sicherheit und Nachvollziehbarkeit analog dem Active Directory Werden aber nicht durch ein Zertifizierungsverfahren oder Audit bestätigt und sind deshalb nicht «public trust» fähig 17

Neue Bezeichnungen zusammengefasst Klasse C Standardzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse D Spezialzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse E Interne Zertifikate ab Windows PKI (kein Audit) 18

Fragen? 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback