Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) Version 2.0 Stand 23.01.2009 1 von 23
Inhalt 1 Einleitung...3 1.1 Überblick...3 1.2 Zielsetzung dieses Dokumentes...3 1.3 Dokumentidentifikation...4 1.4 Teilnehmer und Instanzen des Trustcenters......4 1.4.1 Registrierungsinstanzen...4 1.4.2 Zertifikatswerber...4 1.4.3 Zertifikatsinhaber...4 1.5 Anwendung von Zertifikaten...4 1.5.1 Vorgesehene Anwendung von Zertifikaten...4 1.5.2 Nicht vorgesehene Zertifikatsverwendung...5 1.6 Verwaltung dieses Dokumentes...5 1.6.1 Organisation für die Verwaltung dieses Dokuments...5 1.6.2 Kontaktperson...5 1.6.3 Verantwortlicher für die Anerkennung anderer CPS...5 1.6.4 Genehmigungsverfahren für die Anerkennung anderer CPS...5 1.7 Abkürzungen...5 2 Prozesse zur Erstellung von nicht-qualifizierten Serverzertifikaten...7 2.1 Beantragung...7 2.2 Erstellung eines Serverzertifikats...7 2.3 Auslieferung eines Serverzertifikats...8 2.4 Automatisierte Anforderung und Erstellung von nicht-qualifizierten Serverzertifikaten...8 2.5 Sperrung nicht-qualifizierter Serverzertifikate...8 2.6 Archivierung...8 3 Bekanntmachung und Verzeichnisdienst...9 3.1 Verzeichnisdienst...9 3.2 Veröffentlichung von Informationen der PKI-Instanzen...9 3.3 Häufigkeit und Zyklen für Veröffentlichungen...9 4 Weitere geschäftliche und rechtliche Regelungen...10 4.1 Gültigkeit dieses Dokumentes...10 4.1.1 Gültigkeitszeitraum...10 4.1.2 Vorzeitiger Ablauf der Gültigkeit...10 4.2 Änderungen / Ergänzungen dieses Dokumentes...10 4.2.1 Verfahren für die Änderung / Ergänzung dieses Dokumentes...10 4.2.2 Benachrichtigungsverfahren und Veröffentlichungsperioden...10 4.2.3 Änderungsbedingungen...10 4.2.4 Schriftlichkeitsgebot...10 5 Antrag auf ein Serverzertifikat...11 6 Zertifikatsprofile...13 6.1 Zertifikat der NQ 70 Server CA...13 6.2 OCSP-Signer-Zertifikat der NQ 70 Server CA...15 6.3 Serverzertifikat...17 7 CRL s...20 7.1 CRL der NQ 70 Server CA...20 7.2 Delta-CRL der NQ 70 Server CA...22 2 von 23
1 Einleitung 1.1 Überblick Die Träger der Deutschen Rentenversicherung betreiben ein gemeinschaftliches Trustcenter zur Bereitstellung von Zertifizierungsdiensten nach dem deutschen Signaturgesetz (SigG). Die Deutsche Rentenversicherung Bund betreibt die Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und darunter die Zertifizierungsstelle der Deutschen Rentenversicherung Bund, die beide bei der Bundesnetzagentur nach dem SigG angezeigt sind. Die Wurzelzertifizierungsstelle der Deutschen Rentenversicherung gibt Schlüssel und Zertifikate für die Zertifizierungsstellen der Deutschen Rentenversicherung aus. Die Zertifizierungsstelle der Deutschen Rentenversicherung Bund gibt für die Mitarbeiter der Deutschen Rentenversicherung Bund Mitarbeiterchipkarten, die qualifizierte und nichtqualifizierte Zertifikate enthalten, aus. Darüber hinaus werden unter der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung sowohl eine Zertifizierungsstelle der Deutschen Rentenversicherung als auch Zertifizierungsstellen der Träger für nicht-qualifizierte Serverzertifikate betrieben, die Serverzertifikate für eigene Zwecke der Rentenversicherung ausgeben. Serverzertifikate werden eingesetzt zum Beispiel für Remote Access, Webserver oder die Virtuelle Poststelle und dienen dazu, bei der automatisierten elektronischen Kommunikation die Identität eines Servers nachzuweisen. Beim Prozess der Erstellung eines Serverzertifikats wird unterschieden zwischen der Erstellung eines Zertifikats verbunden mit der vorhergehenden Generierung eines RSA-Schlüsselpaars und der Erstellung eines Zertifikats zu einem anderweitig erzeugten Schlüsselpaar nach Vorlage eines PKCS#10-Requestes (PKCS#10- Response). Serverzertifikate und die zugehörigen Schlüssel werden nicht auf Chipkarten gespeichert, sondern in einem Software-Container (Software-PSE) vorgehalten. Die Gültigkeitsdauer des Zertifikats wird individuell festgelegt, beträgt jedoch max. 3 Jahre. Das vorliegende Dokument enthält die Zertifizierungsrichtlinie (Certificate Policy) und das Certification Practice Statement (CPS) für die von der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) herausgegebenen nichtqualifizierten Serverzertifikate, soweit sie von folgenden Dokumenten abweichen: Certificate Policy für die nicht-qualifizierten Zertifikate der Deutschen Rentenversicherung Bund (ASN.1 Object Identifier (OID) 1.3.6.1.4.1.22204.1.8.2.1.2.) Certification Practice Statement der Zertifizierungsstelle der Deutschen Rentenversicherung Bund (ASN.1 Object Identifier (OID) 1.3.6.1.4.1.22204.1.8.3.1.2) Diese Dokumente gelten auch für die von der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) herausgegebenen Serverzertifikate, soweit im Folgenden nicht etwas anderes bestimmt wird. 1.2 Zielsetzung dieses Dokumentes Dieses Dokument ist Certificate Policy und Certification Practice Statement gleichzeitig. Der Begriff Certificate Policy steht für die Gesamtheit der Regeln und Vorgaben, welche die Anwendbarkeit eines Zertifikatstyps festlegen. Die Zielsetzung einer Certificate Policy ist im RFC 3647, Certificate Policy and Certification Practices Framework, ausführlich dargestellt. Insbesondere sollte eine Certificate Policy darlegen, welche technischen und organisatorischen Anforderungen die bei der Ausstellung der Zertifikate eingesetzten Systeme und Prozesse erfüllen, 3 von 23
welche Vorgaben für die Anwendung der Zertifikate sowie im Umgang mit den zugehörigen Schlüsseln und Signaturerstellungseinheiten gelten, welche Bedeutung den Zertifikaten und ihrer Anwendung zukommt, das heißt welche Sicherheit, Beweiskraft, oder rechtliche Relevanz die mit ihnen erzeugten Kryptogramme bzw. Signaturen besitzen. Nach RFC 3647 legt das Certification Practice Statement (CPS) die Praktiken dar, die ein Trustcenter bei der Ausgabe der Zertifikate anwendet. Dem entsprechend beschreibt dieses Dokument das Vorgehen der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) bei der Beantragung, Generierung, Auslieferung und Verwaltung von nicht-qualifizierten Serverzertifikaten. Das CPS dient der Information des Anwenderkreises der Zertifikate und der Dokumentation von Vorgangsweisen. Das Dokument enthält keine Bestimmungen, welche Rechte oder Pflichten von Personen begründen, ändern oder aufheben würden. 1.3 Dokumentidentifikation Genaue Bezeichnung des Dokuments: Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) Version 2.0 Die ASN.1 Object Identifier (OID) für dieses Dokument ist: 1.3.6.1.4.1.22204.1.8.2.1.6 1.4 Teilnehmer und Instanzen des Trustcenters 1.4.1 Registrierungsinstanzen Die Registrierung erfolgt durch die Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA). 1.4.2 Zertifikatswerber Erwerber von nicht-qualifizierten Serverzertifikaten der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) ist die Deutsche Rentenversicherung Bund. Nicht-qualifizierte Serverzertifikate werden auf Antrag ausgestellt. Anträge auf nicht-qualifizierte Serverzertifikate können von den Abteilungsleitern der Deutschen Rentenversicherung Bund schriftlich beim Leiter des Trustcenters der Deutschen Rentenversicherung gestellt werden. 1.4.3 Zertifikatsinhaber Zertifikatsinhaber für die nicht-qualifizierten Serverzertifikate sind die in den Anträgen bestimmten Personen. Ein Wechsel des Zertifikatsinhabers ist dem Leiter des Trustcenters der Deutschen Rentenversicherung vom Antragsteller schriftlich mitzuteilen. 1.5 Anwendung von Zertifikaten 1.5.1 Vorgesehene Anwendung von Zertifikaten Die nicht-qualifizierten Serverzertifikate dienen den im Antrag genannten Zwecken und enthalten eine entsprechende Nutzungsbeschränkung. 4 von 23
1.5.2 Nicht vorgesehene Zertifikatsverwendung Die Verwendung der Zertifikate für andere als die in diesem Dokument genannten Zwecke ist nicht vorgesehen. 1.6 Verwaltung dieses Dokumentes 1.6.1 Organisation für die Verwaltung dieses Dokuments Für die Verwaltung dieses Dokumentes ist die Deutsche Rentenversicherung Bund zuständig. 1.6.2 Kontaktperson Folgender Ansprechweg hinsichtlich dieses Dokumentes besteht: Deutsche Rentenversicherung Bund Abteilung Organisation und IT-Services Trustcenter der Deutschen Rentenversicherung 10704 Berlin 1.6.3 Verantwortlicher für die Anerkennung anderer CPS Die Anerkennung anderer CPS ist nicht vorgesehen. 1.6.4 Genehmigungsverfahren für die Anerkennung anderer CPS Die Anerkennung anderer CPS ist nicht vorgesehen. 1.7 Abkürzungen ASN Abstract Syntax Notation BDSG Bundesdatenschutzgesetz C Country CA Certification Authority CC Common Criteria CERTSN Zertifikatsseriennummer CM Certificate Manager (Zertifizierungssystem) CN Common Name CP Certificate Policy CPS Certification Practice Statement CRL Certificate Revocation List CSP Cryptographic Service Provider Delta-CRL Aktualisierte Daten einer CRL DN Distinguished Name HSM Hardware Security Module HTTP Hypertext Transfer Protocol ID Identificator IETF Internet Engineering Task Force 5 von 23
IT Informationstechnik LDAP Lightwight Directory Access Protocol MA Mitarbeiter O Organization OCF Open Card Framework OCSP Online Certificate Status Protocol OID Object Identifier OU Organizational Unit PIN Personal Identification Number PKCS Public-Key-Cryptosystem RFC Request for Comments - Internet Standards der IETF RSA Kryptoalgorithmus von Rivest, Shamir und Adleman RV Rentenversicherung SCEP Simple Certificate Enrollment Protocol SGB Sozialgesetzbuch SHA Secure-Hash-Standard (FIPS 180-1) SigG Deutsches Signaturgesetz SigV Deutsche Signaturverordnung URL Unified Ressource Locator X.509 ITU-Standard für Zertifikate und Sperrlisten ZDA Zertifizierungsdiensteanbieter 6 von 23
2 Prozesse zur Erstellung von nicht-qualifizierten Serverzertifikaten 2.1 Beantragung Anträge auf nicht-qualifizierte Serverzertifikate können von den Abteilungsleitern der Deutschen Rentenversicherung Bund schriftlich beim Leiter des Trustcenters der Deutschen Rentenversicherung gestellt werden. Dazu ist der Antragsvordruck (Kapitel 5) zu verwenden. Der Antrag muss folgende Angaben enthalten: Zertifikatsinhaber, Subject (Distinguished Name) auf das das Zertifikat ausgestellt werden soll (cn = common name, ou = organizational unit (optional), o = organization), KeyUsage, Einsatzzweck und Sperrpasswort. Optional können noch SubjectAlternateName und ExtendedKeyUsage angegeben werden. Die zulässigen Parameter eines Zertifikats ergeben sich aus dem Zertifikatsprofil (Kapitel 6.3). Weiterhin muss vom Antragsteller angegeben werden, ob ein Schlüssel generiert werden soll, und eine Stelle benannt werden, an welche die Zertifikate und gegebenenfalls Schlüssel übermittelt werden können. Der Leiter des Trustcenters der Deutschen Rentenversicherung prüft, ob der Antrag von einer berechtigten Stelle unterschrieben ist, legt die Nutzungsbeschränkung fest und übergibt den Antrag zur Ausführung an den Leiter Systemverwaltung. Sofern ein PKCS#10-Request für ein existierendes Schlüsselpaar zum Einsatz kommt, wird der öffentliche Schlüssel per Mail über das interne Netz der Deutschen Rentenversicherung Bund mit Bezugnahme auf den schriftlichen Antrag an den Leiter des Trustcenters der Deutschen Rentenversicherung übermittelt. Die Prüfung des Requests erfolgt in geeigneter Art und Weise nach Absprache mit dem Antragsteller zum Beispiel durch Abgleich des Fingerprints. Es können auch Anträge für eine unbestimmte Zahl von künftig auszustellenden Serverzertifikaten gestellt werden. Mit dem Antrag kann die Befugnis zur Stellung der Einzelanträge mit den für die Erstellung der einzelnen Zertifikate notwendigen Angaben delegiert werden. 2.2 Erstellung eines Serverzertifikats Serverzertifikate werden von einem Systemverwalter unter Aufsicht des Leiters Systemverwaltung ausgestellt. Das gleiche gilt für die Generierung der Schlüsselpaare und der PIN s. Wurde ein Schlüsselpaar generiert, so wird zum Schutz der Soft-PSE eine PIN generiert. Die PIN wird dem Systemverwalter am Bildschirm angezeigt und dazu eine Bildschirm-Hardcopy ausgedruckt. Nach der Übertragung des Schlüsselpaares auf den dem Zertifikatsinhaber auszuhändigende Datenträger wird der private Schlüssel auf den Systemen der Zertifizierungsstelle gelöscht. Die PIN wurde nicht auf den Systemen der Zertifizierungsstelle gespeichert. Die Erstellung eines Serverzertifikats und die Löschung des privaten Schlüssels auf den Systemen der Zertifizierungsstelle wird auf dem schriftlichen Antrag vermerkt (mindestens Datum, durchführende Systemverwalter, CN des Zertifikats, Bestätigung des Leiters 7 von 23
Systemverwaltung). Der Antrag wird daraufhin im Archiv des ZDA Deutsche Rentenversicherung Bund in einem gesonderten Ordner aufbewahrt. 2.3 Auslieferung eines Serverzertifikats Zertifikate, die zu einem PKCS#10-Request erzeugt werden, werden vom Systemverwalter über das interne Netz der Deutschen Rentenversicherung Bund per Mail an die im Antrag benannte Stelle zurück übermittelt. Der PKCS#10-Request wird in der Datenbank des Zertifikatsmanagementsystems vorgehalten und wird damit Bestandteil der elektronischen Dokumentation. Wenn das Schlüsselpaar hingegen erst im Trustcenter erzeugt wurde, so wird der erzeugte PKCS#12-Container vom Systemverwalter auf einem Datenträger gespeichert. Der Datenträger wird innerhalb der Deutschen Rentenversicherung Bund per Hauspost an die im Antrag benannte Stelle übermittelt. In einem separaten Umschlag wird der Bildschirmausdruck mit der zugehörigen PIN auf dem gleichen Weg an die im Antrag benannte Stelle übermittelt. 2.4 Automatisierte Anforderung und Erstellung von nicht-qualifizierten Serverzertifikaten Zertifikatsrequests (PKCS#10) können auch unter Verwendung des SCEP-Protokolls (Simple Certificate Enrollment Protokoll) an einen SCEP-Server des Trustcenters der Deutschen Rentenversicherung gesendet werden. Die Berechtigung zur Zertifikatsbeantragung wird dabei an Hand eines Serverzertifikates, welches von der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) für diesen Zweck ausgestellt wird, geprüft. Anschließend wird das Zertifikat automatisch erstellt und unter Verwendung des SCEP-Servers und des SCEP-Protokolls an den Anfordernden zurückgesandt bzw. zum Abruf bereitgestellt. Automatisch erstellte Zertifikate können auch automatisch erneuert und zum Download bereitgestellt werden. Die Möglichkeit zum automatisierten Abruf von Serverzertifikaten ist wie in Ziff. 2.1 beschrieben zu beantragen. 2.5 Sperrung nicht-qualifizierter Serverzertifikate Sperrberechtigt sind die Antragsteller und die Zertifikatsinhaber. Sperraufträge sind schriftlich oder per Mail an den Leiter des Trustcenters der Deutschen Rentenversicherung zu richten. Der Sperrauftrag muss die Seriennummer des zu sperrenden Zertifikats und das Sperrpasswort enthalten. Die Prüfung der Sperrberechtigung erfolgt an Hand des Sperrpasswortes. Der Leiter des Trustcenters der Deutschen Rentenversicherung beauftragt einen MA Sperrung mit der Durchführung der Sperrung. Dieser nutzt dazu den Sperrclient und verfährt analog zur Sperrung eines Mitarbeiterzertifikats ohne Sperrpasswort. Sperrungen von Serverzertifikaten werden in einem Sperrprotokoll dokumentiert. 2.6 Archivierung Die Unterlagen zu Serverzertifikaten, die von der Zertifizierungsstelle der Deutschen Rentenversicherung Bund für Serverzertifikate (NQ 70 Server CA) ausgestellt wurden, werden im Archiv der Zertifizierungsstelle der Deutschen Rentenversicherung Bund aufbewahrt. 8 von 23
3 Bekanntmachung und Verzeichnisdienst 3.1 Verzeichnisdienst Für die Veröffentlichung von Serverzertifikaten im Verzeichnisdienst gelten die Regelungen der im Kapitel 1.1 genannten Dokumente. 3.2 Veröffentlichung von Informationen der PKI-Instanzen Das vorliegende Dokument wird auf der Web-Seite der Deutschen Rentenversicherung Bund http://www.deutsche-rentenversicherung-bund.de/static/trustcenter/policy.html veröffentlicht. 3.3 Häufigkeit und Zyklen für Veröffentlichungen Die Veröffentlichung der vorliegenden CPS und der CP erfolgt jeweils unmittelbar nach Erstellung bzw. Aktualisierung des Dokumentes. 9 von 23
4 Weitere geschäftliche und rechtliche Regelungen 4.1 Gültigkeit dieses Dokumentes 4.1.1 Gültigkeitszeitraum Dieses Dokument ist vom Tage seiner Veröffentlichung an gültig. Seine Gültigkeit endet nur mit der Einstellung der Zertifizierungsdienste. 4.1.2 Vorzeitiger Ablauf der Gültigkeit Die Gültigkeit dieses Dokumentes endet vorzeitig mit der Veröffentlichung einer neuen Version. 4.2 Änderungen / Ergänzungen dieses Dokumentes 4.2.1 Verfahren für die Änderung / Ergänzung dieses Dokumentes Die Deutsche Rentenversicherung Bund behält sich die Änderung dieses Dokuments vor. Diese kann insbesondere durch eine Weiterentwicklung der technischen oder rechtlichen Gegebenheiten erforderlich sein. 4.2.2 Benachrichtigungsverfahren und Veröffentlichungsperioden Sollten die Änderungen sicherheitsrelevante Aspekte oder die Verfahren hinsichtlich der Zertifikatsinhaber betreffen, wie beispielsweise Änderungen des Registrierungsablaufs, des Verzeichnis- und Sperrdiensts, der Kontaktinformationen oder der Haftung, wird der Zertifizierungsdiensteanbieter die Zertifikatsinhaber per Mail benachrichtigen. Hinsichtlich übriger Änderungen, insbesondere der Verbesserung geringfügiger redaktioneller Versehen oder der Beifügung von Erläuterungen, kann eine Benachrichtigung der Zertifikatsinhaber unterbleiben. 4.2.3 Änderungsbedingungen Bei Ergänzungen oder Modifikationen der CPS entscheidet die Zertifizierungsstelle, ob sich daraus signifikante Änderungen der Sicherheit der Zertifizierungsdienste, des Vertrauens, welches den Zertifikaten entgegengebracht werden kann, der Rechte und Pflichten der Teilnehmer oder der Anwendbarkeit der Zertifikate ergeben. Falls dies der Fall ist, wird die Versionsnummer auf die nächste volle Nummer erhöht. 4.2.4 Schriftlichkeitsgebot Die jeweils aktuelle Schriftversion dieses Textes ersetzt sämtliche vorhergehende Versionen. Mündliche Kundmachungen erfolgen nicht. 10 von 23
5 Antrag auf ein Serverzertifikat AL / Bereich / Ref. / Dez. Datum Zimmer-Nr. App. Fax-Nr. Auskunft erteilt: An Bereich 1103 Trustcenter der Deutschen Rentenversicherung R 2804 Antrag auf ein Serverzertifikat der Zertifizierungsstelle der Deutschen Rentenversicherung Bund Name des Zertifikatsinhabers Vorname des Zertifikatsinhabers Stelle, an welche das Zertifikat übermittelt werden soll (Stelladresse, Organisationseinheit, Email-Adresse) Einsatzzweck Sperrpasswort Ist ein Schlüssel zu generieren Ja Nein DN (DN = distinguished name) des Zertifikatsinhabers (Subject) CN (common name) = Beispiele: DNS-Name oder Hwww.xyz.deH OU (organizational-unit) = Angabe optional, Beispiel: Abteilung fuer Organisation und IT-Services O (organization) = Beispiel: Deutsche Rentenversicherung xyz 11 von 23
Subject Alternate Name (optional) SubjectAltName = Email-Adresse im RFC822-Format Verwendungszweck des Schlüssels (KeyUsage, RFC3280) digitalsignature nonrepudiation keyencipherment dataencipherment Erweiterter Verwendungszweck des Schlüssels (ExtendedKeyUsage, RFC3280) Nein serverauth Ja clientauth Hinweis: codesigning emailprotection Sofern ein PKCS#10-Request für ein existierendes Schlüsselpaar zum Einsatz kommt, ist der öffentliche Schlüssel per Mail an Trustcenter-gRV@DRV-Bund über das interne Netz der DRV Bund mit Bezugnahme auf den schriftlichen Antrag an den Leiter des Trustcenters der Deutschen Rentenversicherung zu übermitteln. Ort, Datum Unterschrift des Zertifikatsinhabers / der Zertifikatsinhaberin Unterschrift des Abteilungsleiters / der Abteilungsleiterin der beantragenden Abteilung 12 von 23
6 Zertifikatsprofile 6.1 Zertifikat der NQ 70 Server CA Pos Bezeichnung Kritisch Inhalt Wert 1 Version Zertifikatsformat 2 2 SerialNumber Seriennummer des Zertifikates Automatisch durch CM 3 Signature ID des verwendeten Algorithmus sha1withrsaencryption 4 Issuer DN der ausgebenden CA OU= NQ Root CA O= Deutsche Rentenversicherung C= DE 5 Validity Gültigkeitszeitraum des Zertifikates Maximal 4 Jahre ab Ausgabedatum, nicht länger gültig als das Zertifikat der NQ Root CA 6 Subject DN des Zertifikatsinhabers OU= NQ 70 Server CA O= Deutsche Rentenversicherung Bund C= DE 7 SubjectPublicKey Public Key, der beglaubigt werden soll 8 SubjectKeyIdentifier Nein Hash des öffentlichen Schlüssels im Zertifikat 9 KeyUsage Ja Verwendungszweck des Schlüssels 10 CertificatePolicies Nein OID der Certificate Policy und die URL, unter der die Policy mit einem Browser abgerufen werden kann 11 BasicConstraints Ja Einschränkungen des Zertifikates CA=True Schlüssellänge: 2048 Bit Schlüsselspeicher: Eracom-HSM des CCM-Servers Automatisch durch CM keycertsign (RFC 3280) crlsign (RFC 3280) 12 AuthorityKeyIdentifier Nein KeyIdentifier der ausstellenden CA Automatisch durch CM OID= 1.3.6.1.4.1.22204.1.8.2.1.1 URL= http://www.deutsche-rentenversicherungbund.de/static/trustcenter/policy.html 13 von 23
Pos Bezeichnung Kritisch Inhalt Wert 13 CRLDistributionPoints Nein Eine LDAP-URL und eine HTTP- URL, unter der die Sperrliste (CRL) der NQ Root CA abgerufen werden kann 14 AuthorityInfoAccess Nein URL, unter welcher der OCSP- Responder für die ausst ellende CA gefunden wird 15 IssuerAltNames Nein Eine LDAP-URL und eine HTTP- URL, unter der das Zertifikat der NQ Root CA abgerufen werden kann URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ ou=nq%20root%20ca, cn=public, o=drv, c=de? attrname=certificaterevocationlist URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.crl?dn= ou%3dnq%20root%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=certificaterevocationlist URL= http://ocsp-root.tc.deutsche-rentenversicherung.de URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ cn=<certsn>, ou=nq%20root%20ca, cn=public, o=drv, c=de? attrname=cacertificate URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.cer?dn= cn%3d<certsn>%2c ou%3dnq%20root%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=cacertificate 14 von 23
6.2 OCSP-Signer-Zertifikat der NQ 70 Server CA Pos Bezeichnung Kritisch Inhalt Wert 1 Version Zertifikatsformat 2 2 SerialNumber Seriennummer des Zertifikates Automatisch durch CM 3 Signature ID des verwendeten Algorithmus sha1withrsaencryption 4 Issuer DN der ausgebenden CA OU= NQ 70 Server CA O= Deutsche Rentenversicherung Bund C= DE 5 Validity Gültigkeitszeitraum des Zertifikates Maximal 4 Jahre ab Ausgabedatum, nicht länger gültig als das Zertifikat der NQ 70 Server CA 6 Subject DN des Zertifikatsinhabers CN= NQ 70 Server OCSP OU= NQ 70 Server CA O= Deutsche Rentenversicherung Bund C= DE 7 SubjectPublicKey Public Key, der beglaubigt werden soll Schlüssellänge: 2048 Bit Schlüsselspeicher: Eracom-Netzwerk-HSM 8 AuthorityKeyIdentifier Nein KeyIdentifier der ausstellenden CA Automatisch durch CM 9 KeyUsage Ja Verwendungszweck des Schlüssels 10 ExtendedKeyUsage Ja Erweiterter Verwendungszweck des Schlüssels 11 CertificatePolicies Nein OID der Certificate Policy und die URL, unter der die Policy mit einem Browser abgerufen werden kann 12 BasicConstraints Ja Einschränkungen des Zertifikates CA=False nonrepudiation (RFC 3280) OCSPSigning (RFC 3280) OID= 1.3.6.1.4.1.22204.1.8.2.1.6 URL= http://www.deutsche-rentenversicherungbund.de/static/trustcenter/policy.html 15 von 23
Pos Bezeichnung Kritisch Inhalt Wert 13 IssuerAltNames Nein Eine LDAP-URL und eine HTTP- URL, unter der das CA-Zertifikat der ausstellenden CA abgerufen werden kann. 14 CRLDistributionPoints Nein Eine LDAP-URL und eine HTTP- URL, unter der die Sperrliste (CRL) abgerufen werden kann. URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ cn=<certsn>, ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=cacertificate URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.cer?dn= cn%3d<certsn>%2c ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=cacertificate URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=certificaterevocationlist URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.crl?dn= ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=certificaterevocationlist 16 von 23
6.3 Serverzertifikat Pos Bezeichnung Kritisch Inhalt Wert 1 Version Zertifikatsformat 2 2 SerialNumber Seriennummer des Zertifikates Automatisch durch CM 3 Signature ID des verwendeten Algorithmus sha1withrsaencryption 4 Issuer DN der ausgebenden CA OU= NQ 70 Server CA O= Deutsche Rentenversicherung Bund C= DE 5 Validity Gültigkeitszeitraum des Zertifikates Maximal 3 Jahre ab Ausgabedatum, nicht länger gültig als das Zertifikat der NQ 70 Server CA 6 Subject DN des Zertifikatsinhabers CN=<DNS-Name>, zum Beispiel: CN=www.deutscherentenversicherung.de OU=<Abteilung oder Hinweis auf die Nutzung>, zum Beispiel: Wuerzburg O=<Organisation>, zum Beispiel Deutsche Rentenversicherung Bund C= DE 7 SubjectPublicKey Public Key, der beglaubigt werden soll Achtung! Umlaute wie ü als ue schreiben! ß als ss Schlüssellänge: 1024 oder 2048 Bit Schlüsselspeicher: Soft-PSE (PKCS#12) Alternativ PKCS#10-Request möglich 8 SubjectAltName nein Email-Adr. Im RFC822 Format Optionales Feld; kann für die Angabe der RFC822 E-Mail-Adresse benutzt werden zum Beispiel mit drv@drv-bund.de 9 AuthorityKeyIdentifier Nein KeyIdentifier der ausstellenden CA Automatisch durch CM 10 SubjectKeyIdentifier Nein Hash des öffentlichen Schlüssels im Zertifikat 11 BasicConstraints Ja Einschränkungen des Zertifikates CA=False Automatisch durch CM 17 von 23
Pos Bezeichnung Kritisch Inhalt Wert 12 KeyUsage Ja Verwendungszweck des Schlüssels gem. RFC 3280 13 ExtendedKeyUsage Ja Erweiterter Verwendungszweck des Schlüssels gem. RFC 3280 14 IssuerAltNames Nein Eine LDAP-URL und eine HTTP- URL, unter der das CA-Zertifikat der ausstellenden CA abgerufen werden kann. 15 AuthorityInfoAccess Nein URL, unter welcher der OCSP- Responder der ausstellenden CA gefunden wird Mögliche Belegungen: digitalsignature nonrepudiation keyencipherment dataencipherment Optionales Feld, mögliche Belegungen: serverauth clientauth codesigning emailprotection URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ cn=<certsn>, ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=cacertificate URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.cer?dn= cn%3d<certsn>%2c ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=cacertificate URL= http://ocsp-70server.tc.deutsche-rentenversicherung.de 18 von 23
Pos Bezeichnung Kritisch Inhalt Wert 16 CRLDistributionPoints Nein Eine LDAP-URL und eine HTTP- URL, unter der die Sperrliste (CRL) abgerufen werden kann. 17 CertificatePolicies Nein OID der Certificate Policy und die URL, unter der die Policy mit einem Browser abgerufen werden kann URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=certificaterevocationlist URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.crl?dn= ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=certificaterevocationlist OID= 1.3.6.1.4.1.22204.1.8.2.1.6 URL= http://www.deutsche-rentenversicherungbund.de/static/trustcenter/policy.html 18 Restriction Nein Nutzungsbeschränkung Der Text wird individuell vergeben. 19 von 23
7 CRL s 7.1 CRL der NQ 70 Server CA Pos Bezeichnung Inhalt Wert 1 Version CRL-Format, Standard = 2 1 2 Signature ID des verwendeten Algorithmus sha1withrsaencryption 3 Issuer DN der ausstellenden CA OU= NQ 70 Server CA O= Deutsche Rentenversicherung Bund C= DE 4 ThisUpdate Zeitpunkt der CRL Erstellung Automatisch durch CM 5 NextUpdate Zeitpunkt der nächsten CRL- Erstellung 6 RevokedCertificates Liste der gesperrten Zertifikate 6a UserCertificate KeyIdentifier des gesperrten Zertifikates Zeitpunkt der CRL-Erstellung + 3 Tage Die Erzeugung der CRL findet 1 Tag nach Ausstellung der letzten CRL statt. Automatisch durch CM 6b RevocationDate Datum und Zeit der Zertifikatssperre Zeitpunkt der Sperrung 7 CRLNumber Fortlaufende Nummer der Sperrlisten Automatisch durch CM 20 von 23
Pos Bezeichnung Inhalt Wert 8 IssuerAltNames Eine LDAP-URL und eine HTTP-URL, unter der das Zertifikat der die CRL ausstellenden CA abgerufen werden kann 9 AuthorityKeyIdentifier KeyIdentifier der ausstellenden CA Automatisch durch CM URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ cn=<certsn>, ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=cacertificate URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.cer?dn= cn%3d<certsn>%2c ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=cacertificate 10 FreshestCRL URL der Delta-CRL URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=deltarevocationlist URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.crl?dn= ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=deltarevocationlist 21 von 23
7.2 Delta-CRL der NQ 70 Server CA Pos Bezeichnung Inhalt Wert 1 Version CRL-Format, Standard = 2 1 2 Signature ID des verwendeten Algorithmus sha1withrsaencryption 3 Issuer DN der ausstellenden CA OU= NQ 70 Server CA O= Deutsche Rentenversicherung Bund C= DE 4 ThisUpdate Zeitpunkt der Delta-CRL Erstellung Automatisch durch CM 5 NextUpdate Zeitpunkt der nächsten Basis-CRL- Erstellung 6 RevokedCertificates Liste der gesperrten Zertifikate 6a UserCertificate KeyIdentifier des gesperrten Zertifikates Siehe übergeordnete CRL. Automatisch durch CM 6b RevocationDate Datum und Zeit der Zertifikatssperre Zeitpunkt der Sperrung 7 DeltaCRLIndicator Kennzeichen, dass es sich um eine Delta-CRL handelt id-ce-deltacrlindicator=true 8 CRLNumber Fortlaufende Nummer der Sperrlisten Automatisch durch CM basecrlnumber=crlnumber der Basis-CRL 22 von 23
Pos Bezeichnung Inhalt Wert 9 IssuerAltNames Eine LDAP-URL und eine HTTP-URL, unter der das Zertifikat der ausstellenden CA abgerufen werden kann 10 AuthorityKeyIdentifier KeyIdentifier der ausstellenden CA Automatisch durch CM URL1 = ldap://dir.tc.deutsche-rentenversicherung.de/ cn=<certsn>, ou=nq%2070%20server%20ca, cn=public, o=drv, c=de? attrname=cacertificate URL2 = http://dir.tc.deutsche-rentenversicherung.de:8089/ servlet/dirxweb/ca/x.cer?dn= cn%3d<certsn>%2c ou%3dnq%2070%20server%20ca%2c cn%3dpublic%2c o%3ddrv%2c c%3dde& attrname=cacertificate 23 von 23