•   Deutsch
  •   English
  •   Français

für die digitale Signatur
und E-Mail-Verschlüsselung
JULIA MailOffice (JMO)

 

für geschlossene Kommuni-
kationswege mit festgelegten
Kommunikationspartnern
 JULIA closed Communication (JcC)

 

durch sinnvolle Reduktion der Betriebsplattformen und Algorithmen zur robusten Kommunikation
JULIA robust Communication (JrC)

 

Automatisierter Zertifikatsbezug
("managed PKI") über Trustcenter

Aufgabenstellung

Der Dienst "managed PKI" zur Automatisierung des Zertifikats-
bezuges umfasst das automatische Ausstellen, Befüllen und Verwalten von Zertifikaten durch ein Trustcenter.

Zur Erfüllung dieses Dienstes werden zwei unterschiedliche Klassen von Zertifikaten eingesetzt. Zuerst wird mindestens ein Administrator oder Verantwortlicher des Unternehmens über das PostIdent-Verfahren identifiziert und mit einem Klasse-3-Endbe-
nutzer-Zertifikat ausgestattet. Über dieses bekannte Zertifikat können alle weiteren Klasse-2-Endbenutzer-Zertifikate für die Mitarbeiter des Unternehmens beantragt und vom Trustcenter ausgestellt werden.


Hierarchie und Gültigkeit von Zertifikaten

Für die Akzeptanz von Endbenutzer-Zertifikaten im praktischen Einsatz ist die Vertrauenswürdigkeit des Wurzelzertifikates für die Empfänger eine Grundvoraussetzung. Daher werden die CA-
Zertifikate zusätzlich von einem anerkannten Browserzertifikat quersigniert, um dann von fast allen weltweiten Anwendungspro-
grammen (99,3 % aller gängigen Browser/E-Mail-Programme) automatisch erkannt zu werden. Dieser Vorgang verursacht keine Warnhinweise oder Aufforderungen zur manuellen Frei-
schaltung oder Anerkennung der Zertifikate durch den Benutzer.

Ein Endbenutzer-Zertifikat ist ab dem Zeitpunkt der Generierung über eine maximale Dauer von fünf Jahren gültig.

Zertifikatsklassen

Zertifikate werden in weltweit einheitliche Klassen eingeordnet. Diese entsprechen keinem offizillem Standard. Die Klassen legen die

  • Art der Überprüfung
  • Art der Identitätsfeststellung des Zertifikatsinhabers

fest.

Die Zertifikatsklassen bestimmen den Grad der Vertrauenswür-
digkeit in das Ausstellungsverfahren von Zertifikaten. Für den Dienst "managed PKI" werden die Klassen 2 und 3 genutzt.


Klasse 2

Das Klasse-2-Zertifikat erfordert eine Bestätigung über die Kor-
rektheit der Angaben zur Person. Die Identifikation erfolgt über einen zugelassenen Service (z.B. Partnerunternehmen) oder durch einen persönlich identifizierten Zertifikatsinhaber der gleichen Organisation.


Klasse 3

Bei einem Klasse-3-Zertifikat erfolgt die Identifikation durch das PostIdent-Verfahren. Das Trustcenter identifiziert den Antrag-
steller eines Klasse-3-Zertifikats über das zertifizierte Verfahren PostIdent, einer Methode zur sichereen persönlichen Identifika-
tion von Personen durch Mitarbeiter der Deutschen Post.

Zertifizierungsstelle

Die Zertifizierungsstelle erzeugt die Zertifikate. Die dafür notwen-
digen Daten erhält sie von der Registrierungsstelle oder zentral aus dem Zertifizierungsdienstemanager. Für die Anträge, die über das Mail-Gateway eingehen, führt der Zertifizierungsdien-
stemanager die Aufgaben der Registrierungsstelle vollautoma-
tisch aus. Über die Schnittstelle leitet der Zertifizierungsdien-
stemanager die Produktionsfreigaben an die Produktionssteue-
rung und weiter an den Zertifizierungsdienst. Der Zertifizierungs-
dienstemanager generiert daraufhin die Klasse-2- und Klasse-
3-Zertifikate. Nach der Produktion eines Klasse-3-Zertifikats erfolgt über die Produktionssteuerung der Ausdruck des zuge-
hörigen PIN-Briefs und der Postversand an den Kunden.


Verzeichnisdienst

Der Verzeichnisdienst wird für die Veröffentlichung von Zertifika-
ten und Sperrlisten genutzt.

Zertifikate und Sperrlisten werden im Verzeichnisdienst abrufbar und nachprüfbar gehalten. Der Abruf und die Modifikation von Informationen des Verzeichnisdienstes erfolgt über das Light-
weight Directory Access Protocol (LDAP). Dieses Netzwerk-
protokoll ist in RFC 4511 spezifiziert.

Die signierten Zertifikate und Sperrlisten können aus dem Ver-
zeichnisdienst herunter geladen werden. Über die Sperrliste kann der Kunde lokal prüfen, ob ein Zertifikat gesperrt ist. Die Sperrlisten werden einmal täglich vom Zertifizierungsdienst aus-
gestellt.

Schnittstelle zum Kunden

Das Mail-Gateway des Kunden ist die Schnittstelle zwischen dem Kunden und dem Trustcenter. Es wird mit Klasse-2- und Klasse-3-Endbenutzer-Zertifikaten und Klasse-3-Schlüssel-
dateien (PKCS#12-Datei) vom Trustcenter befüllt.

Das Mail-Gateway nutzt die Dienste des Trustcenters und sorgt für einen für den Nutzer transparenten, automatisierten und ge-
sicherten E-Mail Datenaustausch. An zentraler Stelle werden die eingehenden und ausgehenden Daten bearbeitet.

Die Schlüssel können in das Mail-Gateway importiert und dort verwaltet werden. Es erfolgt keine Verteilung von Zertifikaten auf die Mitarbeiter-Rechner. Diese werden zentral verwaltet.

Zentraler E-Mail Datenaustausch auf Basis von
Zertifikaten und elektronischer Signatur

Ausstellung Klasse-3-Zertifikat

Das Verfahren zur Ausstellung von Klasse-3-Zertifikaten erfolgt bis auf die Prüfung der Antragsdaten durch die Registrierungs-
stelle vollautomatisch. Die Antragsstellung ist nur unter Angabe einer Rahmenvertragsnummer möglich. Dazu muss der Rah-
menvertrag im Zertifizierungsdienstemanager hinterlegt worden sein.

Der Antragsteller ist ein Verantwortlicher oder Administrator des Mail-Gateways des Kunden. Er beantragt zunächst ein Klasse-
3-Zertifikat über den Online-Antrag und wird mittels PostIdent identifiziert.

Die Antragsstellung, Identifikation und Antragsprüfung von Klasse-3-Zertifikaten verläuft analog zur Antragstellung, Identifi-
kation und Antragsprüfung von qualifizierten Zertifikaten. Diese Prozesse bestehen bereits und werden hier nur der Vollständig-
keit halber erläutert. Die neuen Prozese der Produktion, Produk-
tionsprüfung und Veröffentlichung erfolgen vollautomatisch.


Ausstellung Klasse-2-Zertifikat

Die Klasse-2-Zertifikate werden von einem Klasse-3-Zertifikatsin-
halber per E-Mail beantragt und vom Trustcenter per E-Mail zu-
gestellt. Für jedes Zertifikat wird jeweils ein E-Mail Antrag ge-
sendet und jedes Zertifikat wird in einer gesonderten E-Mail zu-
gestellt.

Ein Klasse-2-Zertifikatsinhaber kann mehrere Zertifikate besit-
zen.

Sperrung Endbenutzer-Zertifikat

Die Klasse-2- und Klasse-3-Endbenutzer-Zertifikate haben eine Gültigkeitsdauer von fünf Jahren.
Unter bestimmten Bedingungen, beispielsweise bei einer Kom-
promittierung des Signaturschlüssels oder Änderung der Identi-
fikationsinformation eines Zertifikatsinhabers werden Zertifikate vor Ablauf ihres Gültigkeitszeitraums ungültig und müssen ge-
sperrt werden.

Das Trustcenter implentiert die folgenden drei Sperrdienste:

  • E-Mail-Sperrdienst
  • Brief-Sperrdient und
  • telefonischer Sperrdienst

Voraussetzung für die Sperrung ist, dass der Antragssteller einen Sperrantrag stellt und sich gegenüber dem Trustcenter authentisieren kann. Die Authentifizierung der Antragsteller unterscheidet sich bei den drei Sperrverfahren.

Sie erfolgt:

  • beim E-Mail Sperrantrag über die Prüfung
    der elektronischen Signatur,
  • beim Sperrantrag per Post über die Prüfung
    der handschriftlichen Unterschrift und
  • beim telefonischen Sperrantrag über die Prüfung
    des telefonischen Sperrkennworts.