Automatisierter Zertifikatsbezug
("managed PKI") über Trustcenter
Aufgabenstellung
Der Dienst "managed PKI" zur Automatisierung des Zertifikats-
bezuges umfasst das automatische Ausstellen, Befüllen und Verwalten von Zertifikaten durch ein Trustcenter.
Zur Erfüllung dieses Dienstes werden zwei unterschiedliche Klassen von Zertifikaten eingesetzt. Zuerst wird mindestens ein Administrator oder Verantwortlicher des Unternehmens über das PostIdent-Verfahren identifiziert und mit einem Klasse-3-Endbe-
nutzer-Zertifikat ausgestattet. Über dieses bekannte Zertifikat können alle weiteren Klasse-2-Endbenutzer-Zertifikate für die Mitarbeiter des Unternehmens beantragt und vom Trustcenter ausgestellt werden.
Hierarchie und Gültigkeit von Zertifikaten
Für die Akzeptanz von Endbenutzer-Zertifikaten im praktischen Einsatz ist die Vertrauenswürdigkeit des Wurzelzertifikates für die Empfänger eine Grundvoraussetzung. Daher werden die CA-
Zertifikate zusätzlich von einem anerkannten Browserzertifikat quersigniert, um dann von fast allen weltweiten Anwendungspro-
grammen (99,3 % aller gängigen Browser/E-Mail-Programme) automatisch erkannt zu werden. Dieser Vorgang verursacht keine Warnhinweise oder Aufforderungen zur manuellen Frei-
schaltung oder Anerkennung der Zertifikate durch den Benutzer.
Ein Endbenutzer-Zertifikat ist ab dem Zeitpunkt der Generierung über eine maximale Dauer von fünf Jahren gültig.
