(CPS) Certificate Policy (CP) / Certificate Policy Statement der BR-SubCA-2023 - Version 1.0 - Stand: 11.08.2017

 
WEITER LESEN
Certificate Policy (CP) /
     Certificate Policy Statement
                 (CPS)
               der BR-SubCA-2023

                     Version 1.0

Stand: 11.08.2017                  1
Inhaltsverzeichnis

1.      Einleitung ................................................................................................................ 5
     1.1      Überblick .................................................................................................................... 6
     1.2      Name und Kennzeichnung des Dokuments ..................................................................... 6
     1.3      PKI-Teilnehmer ........................................................................................................... 6
     1.4      Verwendung von Zertifikaten ........................................................................................ 7
     1.5      Pflege der Richtlinie ..................................................................................................... 8
     1.6      Begriffe und Abkürzungen ............................................................................................ 8

2.      Verantwortlichkeit für Verzeichnisse und Veröffentlichungen ...................................... 10
     2.1      Verzeichnisse ............................................................................................................ 10
     2.2      Veröffentlichung von Informationen zur Zertifikatserstellung .......................................... 10
     2.3      Zeitpunkt und Häufigkeit von Veröffentlichungen .......................................................... 11
     2.4      Zugriffskontrollen auf Verzeichnisse............................................................................. 11
3.      Identifizierung und Authentifizierung ....................................................................... 12
     3.1      Namensregeln........................................................................................................... 12
     3.2      Erstmalige Überprüfung der Identität........................................................................... 13
     3.3    Identifizierung und Authentifizierung von Anträgen auf Zertifizierung nach
     Schlüsselerneuerung (Rekeying) ............................................................................................ 15
     3.4      Identifizierung und Authentifizierung von Sperranträgen ................................................ 15
4.      Betriebsanforderungen ........................................................................................... 16
     4.1      Zertifikatsantrag........................................................................................................ 16
     4.2      Verarbeitung des Zertifikatsantrags ............................................................................. 17
     4.3      Zertifikatsausgabe ..................................................................................................... 18
     4.4      Zertifikatsannahme .................................................................................................... 19
     4.5      Verwendung des Schlüsselpaares und des Zertifikats..................................................... 20
     4.6      Zertifikatserneuerung................................................................................................. 21
     4.7      Zertifizierung nach Schlüsselerneuerung ...................................................................... 23
     4.8      Zertifikatsänderung ................................................................................................... 25
     4.9      Sperrung und Suspendierung von Zertifikaten .............................................................. 27
     4.10     Statusabfragedienst für Zertifikate............................................................................... 32
     4.11     Kündigung durch den Zertifikatsnehmer ....................................................................... 32
     4.12     Schlüsselhinterlegung und Wiederherstellung ............................................................... 32
5.      Nicht-technische Sicherheitsmaßnahmen ................................................................. 34
     5.1      Bauliche Sicherheitsmaßnahmen ................................................................................. 34
     5.2      Verfahrensvorschriften ............................................................................................... 35
     5.3      Personelle Sicherheitsmaßnahmen .............................................................................. 36

 Stand: 11.08.2017                                                                                                 2
5.4    Überwachungsmaßnahmen ........................................................................................ 37
     5.5    Archivierung von Aufzeichnungen................................................................................ 39
     5.6    Schlüsselwechsel der BR-CA ....................................................................................... 41
     5.7    Kompromittierung und Geschäftsweiterführung bei der BR-SUB-CA ................................. 41
     5.8    Schließung einer BR CA.............................................................................................. 42
6.     Technische Sicherheitsmaßnahmen ......................................................................... 43
     6.1    Erzeugung und Installation von Schlüsselpaaren ........................................................... 43
     6.2    Sicherung des privaten Schlüssels und Anforderungen an kryptographische Module .......... 45
     6.3    Andere Aspekte des Managements von Schlüsselpaaren ................................................ 48
     6.4    Aktivierungsdaten...................................................................................................... 49
     6.5    Sicherheitsmaßnahmen in den Rechneranlagen ............................................................ 50
     6.6    Technische Maßnahmen während des Life Cycles.......................................................... 50
     6.7    Sicherheitsmaßnahmen für Netze ................................................................................ 51
     6.8    Zeitstempel .............................................................................................................. 51
7.     Profile von Zertifikaten, Sperrlisten und OCSP .......................................................... 52
     7.1    Zertifikatsprofile ........................................................................................................ 52
     7.2    Sperrlistenprofile ....................................................................................................... 54
     7.3    Profile des Statusabfragedienstes (OCSP)..................................................................... 54

8.     Überprüfungen und andere Bewertungen................................................................. 56
     8.1    Häufigkeit und Bedingungen für Überprüfungen ........................................................... 56
     8.2    Identität/Qualifikation des Prüfers ............................................................................... 56
     8.3    Stellung des Prüfers zum Bewertungsgegenstand.......................................................... 56
     8.4    Durch Überprüfungen abgedeckte Themen .................................................................. 56
     8.5    Reaktionen auf Unzulänglichkeiten .............................................................................. 57
     8.6    Information über Bewertungsergebnisse ...................................................................... 57
     9.1    Preise ...................................................................................................................... 58
     9.2    Finanzielle Zuständigkeiten......................................................................................... 58
     9.3    Vertraulichkeitsgrad von Geschäftsdaten ...................................................................... 58
     9.4    Datenschutz von Personendaten ................................................................................. 59
     9.5    Geistiges Eigentumsrecht ........................................................................................... 60
     9.6    Zusicherungen und Garantien ..................................................................................... 60
     9.7    Haftungsausschlüsse ................................................................................................. 61
     9.8    Haftungsbeschränkungen ........................................................................................... 61
     9.9    Schadensersatz ......................................................................................................... 61
     9.10   Gültigkeitsdauer und Beendigung ................................................................................ 61
     9.11   Individuelle Mitteilungen und Absprachen mit Teilnehmern ............................................ 62
     9.12   Ergänzungen ............................................................................................................ 62

 Stand: 11.08.2017                                                                                               3
9.13   Verfahren zur Schlichtung von Streitfällen .................................................................... 63
 9.14   Zugrunde liegendes Recht .......................................................................................... 63
 9.15   Einhaltung geltenden Rechts ...................................................................................... 63
 9.16   Sonstige Bestimmungen ............................................................................................. 63
 9.17   Andere Bestimmungen ............................................................................................... 64
Anhang A      Zuweisung der Rollen/Aufgaben ................................................................. 65
Anhang B      Mitgeltende Unterlagen ............................................................................. 66

Stand: 11.08.2017                                                                                    4
1.        Einleitung
Dieses Dokument ist das Policy-Dokument der BR-SubCA-2023. Es kombiniert das CPS und die
CP in einem einzigen Dokument. Die Gliederung wurde gemäß RFC 3647 erstellt.

Das Dokument beschreibt als CPS die geltenden Sicherheitsmaßnahmen für den Zertifizie-
rungsbetrieb und damit den Ist-Stand der BR-SubCA-2023. Anforderungen an die Sub-CA
sind im CP/CPS der BR-ROOTCA beschrieben und wurden von der BR-SubCA-2023 umge-
setzt.

Zum anderen beschreibt das Dokument in einzelnen Abschnitten als Zertifizierungsrichtlinie
(CP) die Anforderungen der BR-SubCA-2023 an ihre Zertifikatsnehmer („Mindestanforderun-
gen an Endteilnehmer“). Wenn keine Mindestanforderungen an Endteilnehmer in einem Ab-
schnitt aufgeführt sind, gibt es keine solchen Anforderungen. Die Verwendung der Schlüssel-
wörter zur Kennzeichnung der Anforderungen basiert auf der Übersetzung der englischen
Begriffe aus dem RFC 21191:

1. „muss“, „soll“, „erforderlich“ bzw. „darf nicht“, „soll nicht“, „verboten“

2. „sollte“, „empfohlen“ bzw. „sollte nicht“, „nicht empfohlen“

3. „darf“, „kann“, „optional“

Durch den Betreiber der BR-SubCA-2023 muss sichergestellt werden, dass diese Anforderun-
gen geeignet an die zuständigen Rollen/Personen übergeben werden.

Alle in diesem Dokument beschriebenen Verfahren und Anforderungen sind für die BR-
SubCA-2023 und die Endteilnehmer verbindlich und können nicht abgeschwächt werden. Die
Verfahren und Anforderungen betreffen die infrastrukturellen, organisatorischen, personellen
und technischen Sicherheitsmaßnahmen und Abläufe innerhalb der BR-SubCA-2023 und le-
gen dabei insbesondere die Rahmenbedingungen für die Ausstellung von Zertifikaten ent-
sprechend der internationalen Norm X.509 fest.

Dieses Policy-Dokument orientiert sich an den Vorgaben aus RFC 3647, um dem Leser den
Vergleich von verschiedenen Zertifizierungsrichtlinien und Umsetzungen beim Zertifizierungs-
betrieb zu vereinfachen. Einige Komponenten aus dem RFC 3647 sind nicht zutreffend, da
sie nicht in den Anwendungsbereich der BR-SubCA-2023 fallen. Diese Kapitel wurden nicht
gestrichen, sondern durch die Formulierung „Keine Festlegungen“ als irrelevant markiert, um

1
         „Key words for use in RFCs to Indicate Requirement Levels“, https://www.ietf.org/rfc/rfc2119.txt

    Stand: 11.08.2017                                                                       5
so zu dokumentieren, dass es eine bewusste Entscheidung war, diese Kapitel auszuschlie-
ßen.

  1.1      Überblick
Beim BR wird eine zweistufige Zertifikatsinfrastruktur-Hierarchie aufgebaut:

• Den Vertrauensanker der Zertifikatsinfrastruktur bildet die Rundfunk-Root-CA.

• Die Rundfunk-Root-CA zertifiziert die BR RfA-CA. Aus BR interner PKI-Sicht wird diese
  BR RfA-CA auch als BR-ROOTCA bezeichnet.

• Die BR RfA-CA (BR-ROOTCA) zertifiziert die BR-SubCA-2023 und ggf. zukünftig weitere
  Sub-CAs.

Die BR-SubCA-2023 stellt Endteilnehmerzertifikate aus für Dienste, Anwendungen, User und
Maschinen des Bayerischen Rundfunks.

  1.2      Name und Kennzeichnung des Dokuments
Name:            Certificate Policy (CP)/ Certificate Policy Statement (CPS) der BR-SubCA-2023

Version:         siehe Titelseite

Datum:           siehe Fußzeile

OID:             1.3.6.1.4.1.28328.65.128

  1.3      PKI-Teilnehmer

         1.3.1      Zertifizierungsstellen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 stellt Endteilnehmerzertifikate für den eigenen internen Bedarf des BR
aus.

         1.3.2      Registrierungsstellen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 greift auf bestehende Daten von Endteilnehmern zu, die bereits im AD
beim BR erfasst sind. Daher ist keine gesonderte Identitätsprüfung erforderlich und die BR-
SubCA-2023 verfügt über keine eigene Registrierungsstelle.

 Stand: 11.08.2017                                                             6
1.3.3    Zertifikatsnehmer
Umsetzung beim Betrieb der BR-SubCA-2023:
Zertifikatsnehmer der BR-SubCA-2023 sind natürliche Personen und technische Systeme so-
wie Funktionsaccounts für Recovery Agenten und zur Erstellung von Code-Signaturen.
Recovery Agenten werden beim BR zum einen für die Schlüsselarchivierung und -wiederher-
stellung von Verschlüsselungsschlüsseln in der BR-SubCA-2023 und zum anderen zur Wie-
derherstellung von verschlüsselten Dateien (EFS) verwendet.
Die Zertifikatsnehmer werden im Folgenden auch als Endteilnehmer bezeichnet.

Die BR-SubCA-2023 stellt keine weiteren CA-Zertifikate aus.

         1.3.4    Zertifikatsnutzer
Umsetzung beim Betrieb der BR-SubCA-2023:
Zertifikatsnutzer sind alle Personen, Systeme (Maschinen) und Organisationen, die Zertifikate
der BR-SubCA-2023 nutzen.

         1.3.5    Andere Teilnehmer
Es gibt keine weiteren Teilnehmer. Die BR-SubCA-2023 wird von den gleichen Personen be-
trieben wird wie die BR-ROOTCA.

   1.4    Verwendung von Zertifikaten

         1.4.1    Erlaubte Verwendungen von Zertifikaten
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 stellt nur Endteilnehmerzertifikate für Personen, Funktionsaccounts und
technische Systeme aus. Die erlaubte Verwendung der ausgestellten Zertifikate wird in der
Zertifikatserweiterung KeyUsage und optional ExtendedKeyUsage angegeben.

Mindestanforderungen an Endteilnehmer:
Die zu diesen Zertifikaten gehörenden privaten Schlüssel dürfen nur für den in der Zertifi-
katserweiterung angegeben Verwendungszweck genutzt werden.

         1.4.2    Verbotene Verwendungen von Zertifikaten
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 stellt keine weiteren Sub-CA Zertifikate aus. Die BR-SubCA-2023 nutzt
ihren Schlüssel nicht zu Verschlüsselungs- oder Authentisierungszwecken oder für andere
Signaturen als zur Zertifikats- oder Sperrlistenausstellung.

 Stand: 11.08.2017                                                           7
Mindestanforderungen an Endteilnehmer:
Zertifikatsnehmer der BR-SubCA-2023 und Zertifikatsnutzer sind selbst für die Nutzung in
den Anwendungsprogrammen zuständig, sowie für die Prüfung, ob die damit möglichen An-
wendungen den Sicherheitsanforderungen geeignet Rechnung tragen.

  1.5     Pflege der Richtlinie

        1.5.1     Zuständigkeit für das Dokument
Umsetzung beim Betrieb der BR-SubCA-2023:
Inhaber dieses kombinierten CP/CPS-Dokuments und somit zuständig für dieses Dokument
ist der IT Sicherheitsbeauftragte des Bayerischen Rundfunks in Zusammenarbeit mit dem
PKI-Team des Referats Server und Systeme der Abteilung IT-Infrastruktur.

        1.5.2     Ansprechpartner/Kontaktperson/Sekretariat
Ansprechpartner für dieses kombinierte CP/CPS-Dokument ist der IT Sicherheitsbeauftragte
des Bayerischen Rundfunks in Zusammenarbeit mit dem PKI-Team des Referats Server und
Systeme der Abteilung IT-Infrastruktur. E-Mail Kontakt: IT-Sicherheit@BR.de

        1.5.3     Pflege dieser Richtlinie
Dieses kombinierte CP/CPS-Dokument wird vom IT Sicherheitsbeauftragten des Bayerischen
Rundfunks einmal im Jahr auf Aktualität und Erhalt der Konformität zur jeweils aktuellen Fas-
sung den Anforderungen der BR-ROOTCA überprüft. Änderungswünsche können beim IT Si-
cherheitsbeauftragten des Bayerischen Rundfunks eingereicht werden.

        1.5.4     Annahmeverfahren für Teilnehmer-CP
Die BR-SubCA-2023 stellt keine weiteren Sub-CA-Zertifikate aus. Cross-Zertifizierungen sind
nicht vorgesehen. Folglich muss die BR-SubCA-2023 kein CP/CPS anerkennen.

        1.5.5     Zuständiger für die Anerkennung einer CP in Hinblick auf
                  diese CP/CPS
Siehe 1.5.4

  1.6     Begriffe und Abkürzungen
CA            Certification Authority
              Zertifizierungsstelle

CP            Certificate Policy
              Zertifizierungsrichtlinie

 Stand: 11.08.2017                                                         8
CPS        Certification Practice Statement
           Regelungen für den Zertifizierungsbetrieb

CSR        Certificate Signing Request
           Zertifikatsantrag

DN         Distinguished Name
           Vollqualifizierter Name

DNS        Domain Name System
           Namensauflösung im Internet

HTTPS      Hypertext Transfer Protocol Secure
           Sicheres Hypertext-Übertragungsprotokoll

OCSP       Online Certificate Status Protocol
           Online-Auskunftsdienst zum Status von Zertifikaten

OID        Object Identifier
           Eindeutiger Kennzeichner für Objekte

PKI        Public Key Infrastructure
           Infrastruktur für X.509 Zertifikate

UPN        User Principal Name
           Eindeutiges Benamungsschema von Benutzer- und Computerobjekten im AD

CRL        Certificate Revocation List
           Zertifikatssperrliste. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt o-
           der widerrufen wurde.

Stand: 11.08.2017                                                             9
2.         Verantwortlichkeit für Verzeichnisse und Veröffentlichun-
           gen

     2.1    Verzeichnisse
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 stellt ihren Zertifikatsnutzern ihr eigenes CA-Zertifikat und eine Sperrliste
zu den von ihr ausgestellten Zertifikaten über ein Active Directory und über einen Webserver
zum Abruf aus dem internen LAN, dem ARD-Daten-CN und dem Internet zur Verfügung. Da-
bei nutzt die BR-SubCA-2023 Verzeichnisdienste, deren ordnungsgemäßer Betrieb sicherge-
stellt ist, und die sich an geltenden Sicherheitsrichtlinien des Bayerischen Rundfunks und
dem aktuellen Stand der Technik orientieren. Bei der Veröffentlichung von Zertifikaten wird
sichergestellt, dass eine mögliche Veröffentlichung personenbezogener Daten nicht den gel-
tenden Datenschutzrichtlinien widerspricht. Zusätzlich betreibt die BR-SubCA-2023 einen
OCSP-Responder, über den sie den Zertifikatsnutzern online Sperrinformationen zur Verfü-
gung stellt.

     2.2    Veröffentlichung von Informationen zur Zertifikatserstellung
Die BR-SubCA-2023 stellt ihr eigenes CA-Zertifikat und ihre Sperrliste über ein Active Direc-
tory und unter folgenden HTTP-URLs zur Verfügung:

Im internen LAN:
http://ca-info.br-edv.brnet.int/Zert-Infos/BR-SubCA-2023.cer bzw.
http://ca-info.br-edv.brnet.int/Zert-Infos/BR-SubCA-2023.crl

im ARD-Daten-CN:
http://ca-info.br.cn.ard.de/Zert-Infos/BR-SubCA-2023.cer bzw.
http://ca-info.br.cn.ard.de/Zert-Infos/BR-SubCA-2023.crl

Im Internet:
http://ca-info.br.de/Zert-Infos/BR-SubCA-2023.cer bzw.
http://ca-info.br.de/Zert-Infos/BR-SubCA-2023.crl

Zusätzlich stellt die BR-SubCA-2023 den Zertifikatsnutzern Sperrinformationen über einen
OCSP-Responder zur Verfügung. Der OCSP-Responder ist aus dem internen LAN unter der
folgenden URL erreichbar: http://ocsp.br-edv.brnet.int

Die URLs für alle oben genannten Abrufmöglichkeiten des BR-SubCA-2023 Zertifikats und
der Sperrliste sowie die URL für den Zugriff auf den OCSP-Responder werden von der BR-

 Stand: 11.08.2017                                                           10
SubCA-2023 in die ausgestellten Endteilnehmerzertifikate eingetragen. So stellt die BR-
SubCA-2023 all ihren Zertifikatsnutzern in geeigneter Weise ihre Sperrinformationen und ihr
CA-Zertifikat zur Verfügung.

Benutzerzertifikate und BR-interne Server/System-Zertifikate, die vor dem 30.09.2017 ausge-
stellt wurden, enthalten noch keine ARD-Daten-CN URLs und beinhalten noch die alten DNS-
Namen in den Internet-URLs ca-info.brnet.de, die jedoch auf den gleichen Webserver
im Internet verweisen wie der neue DNS-Name ca-info.br.de.

   2.3    Zeitpunkt und Häufigkeit von Veröffentlichungen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die Veröffentlichung des BR-SubCA-2023 Zertifikats im AD, im internen LAN, im ARD-Daten-
CN und im Internet wird einmalig nach der Installation der BR-SubCA-2023 ausgeführt.

Die Sperrliste der BR-SubCA-2023 ist zwei Tage gültig, Sie wird täglich neu ausgestellt. Die
Veröffentlichung der Sperrliste im AD, im internen LAN, im ARD-Daten-CN und im Internet
erfolgt automatisch nach jeder Ausstellung einer neuen Sperrliste durch die BR-SubCA-2023.
Somit erfolgt unverzüglich, spätestens 24 Stunden nach durchgeführter Sperrung eines Zerti-
fikates, die Veröffentlichung der aktuellen Sperrinformationen.

Der OCSP-Responder antwortet direkt auf die Statusanfrage zu einem Zertifikat. Die Antwort
des OCSP-Responders zum Status eines Zertifikats ist genauso lange gültig wie der Sperrliste
selbst, d. h. zwei Tage.

   2.4    Zugriffskontrollen auf Verzeichnisse
Umsetzung beim Betrieb der BR-SubCA-2023:
Unkontrollierte Änderungen von Zertifikaten und Sperrinformationen im AD sowie auf den
Webservern für den Zugriff aus dem internen LAN, ARD-Daten-CN und im Internet werden
durch eine geeignete Zugriffskontrolle verhindert. Der lesende Zugriff auf die Informationen
ist ohne vorherige Anmeldung möglich. Der schreibende Zugriff ist auf berechtigte Personen
beschränkt.

 Stand: 11.08.2017                                                          11
3.         Identifizierung und Authentifizierung

     3.1      Namensregeln

           3.1.1     Arten von Namen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die Namensgebung im subject und issuer Feld in den ausgestellten Endteilnehmerzertifikaten
entspricht dem X.500 Standard. Weitere Namensformen sind darüber hinaus möglich.

           3.1.2     Notwendigkeit für aussagefähige Namen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 verwendet aussagekräftige2 Inhaber-Namen in den von ihr ausgestellten
Endteilnehmerzertifikaten, um die Identität des Endnutzers oder -systems klar erkenntlich zu
machen. Sie verschleiert oder verbirgt die Identität des Endnutzers oder Endsystems nicht.
Die von der BR-SubCA-2023 ausgestellten Endteilnehmerzertifikate enthalten im subject Feld
den Namen des Zertifikatsnehmers (Benutzer, Funktionsaccount oder technisches System)
im CN-Attribut des Distinguished Names und folgende OU, O- und C-Attribute:
OU=BR,O=Bayerischer Rundfunk,C=DE

           3.1.3     Anonymität oder Pseudonymität von Zertifikatsnehmern
Umsetzung beim Betrieb der BR-SubCA-2023:
Es werden keine Anonymisierung oder Pseudonyme verwendet.

           3.1.4     Regeln für die Interpretation verschiedener Namensformen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die Distinguished Names im subject und issuer Feld des Zertifikats bezeichnen den Zertifi-
katsinhaber und -herausgeber. Abhängig vom Zertifikatstyp wird zusätzlich oder alternativ
der Zertifikatsinhaber auch in der SubjectAltName Erweiterung benannt.

           3.1.5     Eindeutigkeit von Namen
Umsetzung beim Betrieb der BR-SubCA-2023:
Bei der Vergabe von Namen ist sichergestellt, dass der Name des Zertifikatsinhabers inner-
halb der BR-SubCA-2023 eindeutig ist.

2
           im Kontext der jeweiligen PKI-Anwendung

    Stand: 11.08.2017                                                      12
3.1.6   Anerkennung, Authentifizierung und Rolle von Markennamen
Umsetzung beim Betrieb der BR-SubCA-2023:
Von der BR-SubCA-2023 werden keine Namen in Zertifikaten verwendet, die Warenzeichen
oder Markennamen verletzen.

Mindestanforderungen an Endteilnehmer:
In Zertifikatsanträgen, die manuell erzeugt werden, dürfen keine Namen verwendet werden,
die Warenzeichen oder Markennamen verletzen. Beispiele für manuell erzeugte Zertifikatsan-
träge sind Anträge von Server-Administratoren für Linux Server.

     3.2    Erstmalige Überprüfung der Identität

           3.2.1   Methoden zur Überprüfung des Besitzes des privaten Schlüs-
                   sels
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 erzeugt selbst keine Schlüssel für Endteilnehmer, aber sie stellt vor der
Zertifizierung des öffentlichen Schlüssels sicher, dass der zugehörige private Schlüssel im Be-
sitz des antragstellenden Endteilnehmers ist. Daher akzeptiert sie nur signierte Zertifikatsan-
träge und überprüft diese Signatur auf Gültigkeit und Korrektheit.

Die Schlüssel werden von den Endteilnehmern (Benutzer oder technisches System) oder einer
autorisierten Person3 erzeugt. Im Rahmen eines sicheren Zertifikats- und Schlüsselmanage-
ment-Protokolls wird ein Zertifikatsantrag mit eben diesem privaten Schlüssel digital signiert
und an die BR-SubCA-2023 übermittelt.

           3.2.2   Authentifizierung von Organisationszugehörigkeiten
Umsetzung beim Betrieb der BR-SubCA-2023:
Beim Zertifikatsantrag eines Endteilnehmer wird keine Organisationszugehörigkeit überprüft.
Eine gesonderte Prüfung der Organisationszugehörigkeit ist nicht erforderlich, da die Authen-
tifizierung von Organisationszugehörigkeit des Antragstellers auf Basis bereits erfasster Da-
ten erfolgt. Alle berechtigten Antragsteller sind in entsprechenden AD-Gruppen beim BR ent-
halten.

3
       Autorisiert sind bspw. die zuständigen Server-Administratoren sowie die Nutzer des Code-Sig-
ning Funktionsaccounts bzw. des Key Recovery Funktionsaccounts

    Stand: 11.08.2017                                                            13
3.2.3     Anforderungen zur Identifizierung und Authentifizierung des
                  Zertifikatsnehmers
Umsetzung beim Betrieb der BR-SubCA-2023:
Die Zertifikatsbeantragung bei der BR-SubCA-2023 erfordert keine gesonderte Identitätsprü-
fung. Die Authentifizierung des Antragstellers erfolgt auf Basis bereits erfasster Daten. Alle
Antragsteller sind im AD des Bayerischen Rundfunks enthalten und authentifizieren sich bei
der Windows-Anmeldung mit ihrem AD-Benutzernamen und AD-Passwort. Daher ist keine
weitere Authentifizierung des Antragstellers erforderlich.

Zertifikate für technische Systeme wie Domain Controller Zertifikate und OCSP-Responder
werden automatisch beantragt. Es findet keine Identitätsüberprüfung und Authentifizierung
des Antragstellers statt.

        3.2.4     Ungeprüfte Zertifikatsnehmerangaben
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 nimmt keine ungeprüften Teilnehmerangaben in den Endteilnehmerzerti-
fikaten auf. Bei automatisiert ausgestellten Zertifikaten (Auto-Enrollment), bei denen der Zer-
tifikatsantrag nicht durch einen CA-Administrator der BR-SubCA-2023 geprüft und freigege-
ben wird, ist sichergestellt, dass der Antragsteller seinen Zertifikatsantrag nicht manuell er-
stellen oder verändern kann.

        3.2.5     Prüfung der Berechtigung zur Antragstellung
Umsetzung beim Betrieb der BR-SubCA-2023:
Ein BR-SubCA-2023 Admin vergibt die entsprechenden Antragsberechtigungen in der BR-
SubCA-2023. Zur Berechtigungsverwaltung verwendet der BR-SubCA-2023 Admin beste-
hende AD-Gruppen, die von den AD-Administratoren beim BR gepflegt werden, d.h. nur be-
rechtigte Nutzer können einen Zertifikatsantrag bei der BR-SubCA-2023 stellen.

Bei Zertifikatsanträgen, bei denen der Name des Zertifikatsinhabers vom Antragsteller frei
gewählt werden kann, wird die korrekte Namensgebung im Zertifikatsantrag vom BR-SubCA-
2023 Manager überprüft, bevor das Zertifikat ausgestellt wird. Es findet keine Berechtigungs-
prüfung statt, da nur administrative Konten entsprechende Zertifikatsanträge stellen dürfen.

        3.2.6     Kriterien zur Zusammenarbeit
Die BR-SubCA-2023 arbeitet nicht mit anderen Zertifikatsinfrastrukturen außerhalb der Rund-
funkanstalten zusammen.

 Stand: 11.08.2017                                                             14
3.3      Identifizierung und Authentifizierung von Anträgen auf Zerti-
            fizierung nach Schlüsselerneuerung (Rekeying)

           3.3.1   Identifizierung und Authentifizierung von routinemäßigen
                   Anträgen zur Zertifizierung nach Schlüsselerneuerung
Umsetzung beim Betrieb der BR-SubCA-2023:
Da bei einem Neuantrag keine gesonderte Identitätsprüfung und Authentifizierung des An-
tragstellers erforderlich ist, ist diese auch bei Anträgen zur Zertifizierung nach einer Schlüs-
selerneuerung nicht erforderlich.

           3.3.2   Identifizierung und Authentifizierung zur Schlüsselerneue-
                   rung nach Sperrungen
Umsetzung beim Betrieb der BR-SubCA-2023:
Wurde das Zertifikat eines Endteilnehmers gesperrt, gelten bei der Zertifikatserneuerung die
gleichen Identifizierungs- und Authentifizierungsvorgehensweisen wie beim Neuantrag. Da
beim Neuantrag keine gesonderte Identitätsprüfung und Authentifizierung des Antragstellers
erforderlich ist, ist diese auch bei Anträgen zur Zertifizierung nach einer Sperrung nicht erfor-
derlich.

   3.4      Identifizierung und Authentifizierung von Sperranträgen
Umsetzung beim Betrieb der BR-SubCA-2023:
Sperranträge dürfen von jedermann bei der BR-SubCA-2023 gestellt werden. Daher ist keine
gesonderte Identitätsprüfung des Antragstellers erforderlich.

Bevor ein CA-Administrator jedoch ein Endteilnehmerzertifikat in der BR-SubCA-2023 sperrt,
muss sich ein Mitarbeiter der Fachgruppe Rechenzentren und IT-Systeme über die Sperrab-
sicht vergewissern:

• Ein SSL/TLS Serverzertifikat wird nur nach Rücksprache mit dem Inhaber des Servers/
   Systems gesperrt.

• Ein Benutzerzertifikat wird nur nach Rücksprache mit dem Benutzer oder seinem direkten
   Vorgesetzten gesperrt.

• Ein WLAN-Zertifikat wird nur nach Rücksprache mit einem Client-Administrator gesperrt.

Die Rücksprache muss entweder telefonisch an eine beim BR hinterlegte Telefonnummer
oder in einem persönlichen Gespräch erfolgen, um die Identität des Sperrberechtigten si-
cherzustellen. Bei einem persönlichen Gespräch muss die Identität über einen Lichtbildaus-
weis geprüft werden, wenn der Gesprächspartner nicht persönlich bekannt ist.

 Stand: 11.08.2017                                                             15
4.         Betriebsanforderungen

     4.1    Zertifikatsantrag

           4.1.1   Wer kann einen Zertifikatsantrag stellen?
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 stellt folgende Zertifikate aus:

• Authentifikationszertifikate für interne technische Systeme, wie bspw. Domain Controller,
     Webserver, Radius-Server, SCOM-Agenten

• Signatur- und Verschlüsselungszertifikate für Benutzer

• Authentifikationszertifikate für WLAN (Maschinenzertifikate)

• Signaturzertifikate für den OCSP-Responder der BR-SubCA-2023

• Verschlüsselungszertifikate für Recovery Agenten (Funktionsaccounts)

• Code Signing Zertifikat (Funktionsaccount)

Antragsberechtigt sind die technischen Systeme bzw. die zuständigen Systemadministratoren
und ihre Vertreter, die Benutzer im Fall von Signatur- und Verschlüsselungszertifikate sowie
die für die Funktionsaccounts jeweils autorisierten Personen.

           4.1.2   Registrierungsprozess und Zuständigkeiten
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 erzeugt zentral keine Schlüssel für Endteilnehmerzertifikate.

Endteilnehmerzertifikate werden entweder manuell oder automatisiert bei der BR-SubCA-
2023 beantragt, sie werden nach Möglichkeit automatisiert beantragt. Zertifikate für die
Funktionsaccounts von Recovery-Agenten und zur Erstellung von Code Signaturen werden
manuell beantragt.

Bei Zertifikatsanträgen, bei denen der Name des Zertifikatsinhabers vom Antragsteller frei
gewählt werden kann wie bspw. bei Webserverzertifikaten, wird eine Prüfung und Freigabe
des Zertifikatsantrags durch einen BR-SubCA-2023 Manager durchgeführt, bevor das Zertifi-
kat ausgestellt wird.

Mindestanforderungen an Endteilnehmer:
Der Antragsteller bzw. stellvertretend eine autorisierte Person 3 muss selbst lokal ein Schlüs-
selpaar erzeugen und anschließend den öffentlichen Schlüssel gesichert in einem Zertifikats-
antrag bei der BR-SubCA-2023 einreichen.

 Stand: 11.08.2017                                                            16
Die Schlüssellänge des RSA Schlüssels muss mindestens 2048 Bit betragen. Der Zertifikatsan-
trag für ein SSL/TLS Serverzertifikat muss den/die DNS-Name(n) des Servers enthalten.

   4.2      Verarbeitung des Zertifikatsantrags

          4.2.1    Durchführung der Identifizierung und Authentifizierung
Umsetzung beim Betrieb der BR-SubCA-2023:
Bei der Beantragung von Endteilnehmerzertifikaten ist keine gesonderte Identitätsprüfung
und Authentifizierung des Antragstellers erforderlich, da die Identitätsfeststellung auf andere
Weise gesichert ist (siehe Kapitel 3.2.3).

Mindestanforderungen an Endteilnehmer:
Um einen Zertifikatsantrag für einen Webserver oder Lync Server bei der BR-SubCA-2023
einzureichen, muss der Server-Administrator an einem Computer, der Mitglied des AD ist, mit
seinem AD-Benutzerkonto angemeldet sein, das per Gruppenmitgliedschaft über die erfor-
derlichen Registrieren-Rechte verfügt. Sofern ein anderer Browser als der Internet Explorer
oder ein Arbeitsplatz, der nicht dem AD angeschlossen ist, verwendet wird, muss der Server-
Administrator sich ggf. im Browser explizit mit seinem AD-Benutzernamen und -Passwort an-
melden.

          4.2.2    Annahme oder Ablehnung von Zertifikatsanträgen
Umsetzung beim Betrieb der BR-SubCA-2023:
Zertifikatsanträge für Endteilnehmerzertifikate werden möglichst aus bereits erfassten Daten
generiert. Diese auf Bestandsdaten basierenden Zertifikatsanträge werden von den BR-
SubCA-2023 Managern vor der Ausstellung der Zertifikate nicht geprüft. Zu diesen Zertifi-
katsanträge aus bereits erfassten Daten gehören u. a. auch die Anträge für die Funktionsac-
counts für Recovery Agenten und zur Erstellung von Code-Signaturen.
Nur Zertifikatsanträge mit von Antragsteller selbst erfassten Daten – wie typischerweise bei
SSL/TLS-Serverzertifikaten – werden von einem BR-SubCA-2023 Manager geprüft und ange-
nommen oder bei Inkonsistenzen ablehnt. Vor der Ausstellung eines manuell beantragten
Serverzertifikats wird die korrekte Namensgebung im Zertifikatsantrag vom BR-SubCA-2023
Manager überprüft. Dabei prüft ein BR-SubCA-2023 Manager besonders die folgenden
Punkte:
    • Die Namensbestandteile im Feld Subject Distinguished Name (Antragsteller) des Zer-
         tifikatsantrags müssen korrekt sein.

 Stand: 11.08.2017                                                           17
• Falls der Zertifikatsantrag weitere Namensformen4 in der Zertifikatserweiterung Sub-
           ject Alternative Name enthält, müssen auch diese Namensbestandteile alle korrekt
           sein.

       • Die Schlüssellänge des RSA Schlüssels muss mindestens 2048 Bit betragen.

       • Der Inhaber des AD-Benutzerkontos, über das der Zertifizierungsantrag bei der BR-
           SubCA-2023 eingereicht wurde, muss einer der zuständigen Serveradministratoren
           sein, der für diesen Server verantwortlich ist.

Wird in mindestens einem der Prüfungspunkte eine Abweichung festgestellt, wird der Zertifi-
katsantrag vom BR-SubCA-2023 Manager abgelehnt.

           4.2.3     Fristen für die Bearbeitung von Zertifikatsanträgen
Umsetzung beim Betrieb der BR-SubCA-2023:
Die Ausstellung von manuell zu prüfenden Zertifikatsanträgen erfolgt in der Regel innerhalb
von einem Werktag ab Eingang des Antrags, sofern alle zur Beantragung benötigten Doku-
mente vorliegen. Alle automatisiert beantragten Zertifikate werden umgehend ausgestellt.

     4.3      Zertifikatsausgabe

           4.3.1     Aktionen des Zertifizierungsdiensteanbieters bei der Ausgabe
                     von Zertifikaten
Umsetzung beim Betrieb der BR-SubCA-2023:
Vor Ausstellung jedes Zertifikats wird die Signatur des Zertifikatsantrags von der BR-SubCA-
2023 geprüft, um sicher zu stellen, dass der Zertifikatsnehmer im Besitz des zugehörigen pri-
vaten Schlüssels ist. Automatisiert beantragte Zertifikate werden von der BR-SubCA-2023 au-
tomatisch ausgestellt. Manuell erstellte Zertifikatsanträge mit vom Antragsteller selbst erfass-
ten Daten werden von einem BR-SubCA-2023 Manager auf Korrektheit geprüft und in Abhän-
gigkeit dieser Prüfung zur Ausstellung freigegeben oder abgelehnt. Nach Freigabe des An-
trags wird das Zertifikat im Anschluss von der BR-SubCA-2023 automatisch ausgestellt. Eine
Ausgabe von Zertifikaten erfolgt nur für gültige Zertifikatsanträge, die syntaktisch korrekt
sind und alle erforderlichen Informationen im Antrag enthalten.

4
           Bei SSL/TLS Serverzertifikaten sind dies typischerweise DNS-Name(n).

    Stand: 11.08.2017                                                             18
4.3.2        Benachrichtigung des Zertifikatsnehmers über die Ausgabe
                      des Zertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Es findet keine gesonderte Benachrichtigung des Zertifikatsnehmers über die Ausgabe von
Zertifikaten statt.

   4.4     Zertifikatsannahme

         4.4.1        Verhalten für eine Zertifikatsannahme
Umsetzung beim Betrieb der BR-SubCA-2023:
Keine Festlegungen.

         4.4.2        Veröffentlichung des Zertifikats durch die CA
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 veröffentlicht ihr CA-Zertifikat im AD, im internen LAN, im ARD-Daten-
CN und im Internet, so dass dieses von allen Zertifikatsprüfern abgerufen werden kann
(siehe Kapitel 2.2). Die für technische Systeme und Benutzer ausgestellten Signatur- und
Authentifikationszertifikate werden nicht veröffentlicht. Die Verschlüsselungszertifikate für
Benutzer werden im AD veröffentlicht.

Mindestanforderungen an Endteilnehmer:
Bei Verschlüsselung durch Externe, die keinen Zugriff auf das AD beim BR haben, müssen
Benutzer den Externen ihr Verschlüsselungszertifikat zur Verfügung stellen.

         4.4.3        Benachrichtigung anderer Zertifikatsinfrastruktur-Teilneh-
                      mer über die Ausgabe des Zertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Von der BR-SubCA-2023 findet keine Benachrichtigung weiterer PKI-Teilnehmer statt über
die Ausstellung eines neuen Endteilnehmerzertifikats.

Mindestanforderungen an Endteilnehmer:
Bei Verschlüsselung durch Externe, die keinen Zugriff auf das AD beim BR haben, sollten Be-
nutzer die betreffenden Externen benachrichtigen, wenn Sie ein neues Verschlüsselungszerti-
fikat von der BR-SubCA-2023 erhalten haben.

 Stand: 11.08.2017                                                            19
4.5        Verwendung des Schlüsselpaares und des Zertifikats

         4.5.1    Verwendung des privaten Schlüssels und des Zertifikats
                  durch den Zertifikatsnehmer
Umsetzung beim Betrieb der BR-SubCA-2023:
Die BR-SubCA-2023 setzt ihren Schlüssel und ihr Zertifikat nur für die in ihrem Zertifikat ge-
nannten Verwendungszwecke ein, d.h. zur Ausstellung von Endteilnehmerzertifikaten und
Sperrlisten. Sie trägt dafür Sorge, dass ihr privater Schlüssel angemessen geschützt ist (siehe
Kapitel 6).

Sollte der private Schlüssel der BR-SubCA-2023 dennoch abhandengekommen, gestohlen
oder möglicherweise kompromittiert worden sein oder sollten Angaben im Zertifikat nicht
mehr korrekt sein, wird unverzüglich ein Sperrantrag bei der BR-ROOTCA gestellt.

Die BR-Sub-CA sichert ihren privaten CA-Schlüssel, so dass sie ihn im Notfall wiederherstel-
len kann, um einen kontinuierlichen Zertifizierungsbetrieb zu gewährleisten.

Mindestanforderungen an Endteilnehmer:
Die gleiche Anforderung im Umgang mit dem privaten Schlüssel und Zertifikat gilt auch für
die Zertifikatsnehmer (Endteilnehmer) der BR-SubCA-2023:

• Ein Endteilnehmer darf seinen privaten Schlüssel und sein Zertifikat ausschließlich für die
   im Zertifikat genannten Verwendungszwecke einsetzen.

• Ein Zertifikatsnehmer bzw. die für den Schlüssel und das Zertifikat autorisierte Person 3
   muss Sorge tragen, dass der private Schlüssel angemessen geschützt ist und das Zertifi-
   kat in Übereinstimmung mit den Anforderungen aus diesem Dokument eingesetzt wird.

Ein Zertifikatsnehmer bzw. die autorisierte Person muss das Zertifikat unverzüglich bei der BR-
SubCA-2023 sperren lassen, wenn die Angaben des Zertifikats nicht mehr korrekt sind oder
wenn der private Schlüssel abhandengekommen ist, gestohlen oder möglicherweise kompro-
mittiert wurde.

Bietet eine BR-Sub-CA keine Möglichkeit der Schlüsselhinterlegung an oder wird eine optio-
nale Schlüsselhinterlegungsmöglichkeit bei der BR-Sub-CA vom Zertifikatsnehmer nicht in
Anspruch genommen, so ist der Zertifikatsnehmer selbst dafür zuständig, private Schlüssel
so zu sichern, dass er ggf. verschlüsselte Daten wieder entschlüsseln kann.

 Stand: 11.08.2017                                                             20
4.5.2     Verwendung des öffentlichen Schlüssels und des Zertifikats
                   durch Zertifikatsnutzer
Umsetzung beim Betrieb der BR-SubCA-2023:
Keine Festlegungen. Die BR-SubCA-2023 ist kein Zertifikatsnutzer.

Mindestanforderungen an Endteilnehmer:
Ein Zertifikatsnutzer muss die im Zertifikat genannten Verwendungszwecke prüfen und darf
ein Zertifikat ausschließlich für diese Zwecke akzeptieren.

   4.6     Zertifikatserneuerung

         4.6.1     Bedingungen für eine Zertifikatserneuerung
Umsetzung beim Betrieb der BR-SubCA-2023:
Ein BR-SubCA-2023 Administrator beantragt für die BR-SubCA-2023 niemals eine Zertifikats-
erneuerung ohne Schlüsselwechsel. Wenn die Gültigkeit des BR-SubCA-2023 Zertifikats ab-
läuft oder das BR-SubCA-2023 Zertifikat bspw. aufgrund einer Schlüsselkompromittierung
gesperrt wurde, aber ein entsprechendes Zertifikat weiterhin benötigt wird, erzeugt ein BR-
SubCA-2023 Administrator immer ein neues Schlüsselpaar und beantragt hierfür ein neues
Zertifikat (siehe Kapitel 4.7).

Wurde der Schlüssel der BR-SubCA-2023 kompromittiert und die BR-SubCA-2023 daher neu
aufgesetzt, dürfen die Endteilnehmerzertifikate der BR-SubCA-2023 unter Beibehaltung des
alten bestehenden Schlüssels direkt von der BR-SubCA-2023 erneuert werden, sofern diese
nicht kompromittiert wurden und diese weiterhin den aktuellen kryptographischen Mindest-
anforderungen der BR-ROOTCA genügen. In diesem Fall treffen die BR-SubCA-2023 Manager
gemeinsam mit dem IT-Sicherheitsbeauftragten des Bayerischen Rundfunks die Entschei-
dung, ob die Schlüssel der Endteilnehmer bei der Zertifikatserneuerung ebenfalls erneuert
werden müssen, und dokumentieren diese Entscheidung als schriftliche Protokollnotiz.

Mindestanforderungen an Endteilnehmer:
Wenn die Gültigkeit eines Endteilnehmerzertifikats abläuft oder ein Endteilnehmerzertifikat
vor Ablauf der Gültigkeit erneuert wird, dürfen die Endteilnehmerzertifikate der BR-SubCA-
2023 unter Beibehaltung des alten bestehenden Schlüssels erneuert werden, sofern weiter-
hin die aktuellen kryptographischen Mindestanforderungen der BR-ROOTCA erfüllt sind.

Wenn ein Endteilnehmerzertifikat wegen Verdacht auf Kompromittierung des privaten
Schlüssels gesperrt wurde oder wenn das Zertifikat den aktuellen kryptographischen Min-

 Stand: 11.08.2017                                                          21
destanforderungen der BR-ROOTCA nicht mehr genügt, darf keine Zertifikatserneuerung un-
ter Beibehaltung des alten bestehenden Schlüssels beantragt werden, sondern es muss mit
dem Antrag auf Erneuerung des Endteilnehmerzertifikats auch ein neues Schlüsselpaar er-
zeugt werden (siehe Abschnitt 4.7).

        4.6.2    Wer darf eine Zertifikatserneuerung beantragen?
Umsetzung beim Betrieb der BR-SubCA-2023:
Ein BR-SubCA-2023 Manager darf in der Regel nicht stellvertretend für einen Zertifikatsneh-
mer der BR-SubCA-2023 eine Zertifikatserneuerung für ein Endteilnehmerzertifikat durchfüh-
ren. Dieses Verbot gilt nicht, wenn der eigene Schlüssel der BR-SubCA-2023 kompromittiert
wurde und die Endteilnehmerzertifikate mit dem neuen Schlüssel der BR-SubCA-2023 erneut
ausgestellt werden.

Mindestanforderungen an Endteilnehmer:
Eine Zertifikatserneuerung muss durch den Zertifikatsnehmer bzw. stellvertretend durch eine
autorisierte Person3 oder dessen Vertreter beantragt werden.

Ein Zertifikatsnehmer bzw. stellvertretend eine autorisierte Person3 oder dessen Vertreter
sollte rechtzeitig einen Antrag auf Zertifikatserneuerung bei der BR-SubCA-2023 stellen, so-
fern die Zertifikate nicht via Auto-Enrollment (inkl. Schlüsselerneuerung) verlängert werden.

        4.6.3    Bearbeitungsprozess eines Antrags auf Zertifikatserneuerung
Umsetzung beim Betrieb der BR-SubCA-2023:
Bei manuellen Zertifikatsanträgen für Zertifikaterneuerungen mit vom Antragsteller selbst er-
fassten Daten gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung, siehe Ka-
pitel 4.2 und Kapitel 4.3.1. Wird jedoch vor Ablauf eines Endteilnehmerzertifikats, das ur-
sprünglich manuell beantragt wurde, nun automatisch ein neuer Zertifikatsantrag mit dem
gleichen Namen bei der BR-SubCA-2023 eingereicht und ist das aktuelle Zertifikat nicht ge-
sperrt, so wird das Zertifikat direkt – ohne vorherige Prüfung und Freigabe des Zertifikatsan-
trags – durch die BR-SubCA-2023 neu ausgestellt.

Mindestanforderungen an Endteilnehmer:
Wenn ein Endteilnehmerzertifikat erst nach Ablauf des Zertifikats erneuert wird, gelten die
gleichen Anforderungen wie in Kapitel 4.2 beschrieben.

        4.6.4    Benachrichtigung des Zertifikatsnehmers über die Ausgabe
                 eines neuen Zertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Es findet keine Benachrichtigung der Endteilnehmer bzw. der autorisierten Personen 3 über

 Stand: 11.08.2017                                                           22
die Ausgabe eines Nachfolgezertifikats statt (wie auch bei einer Neubeantragung, siehe Ab-
schnitt 4.3.2).

         4.6.5    Verhalten für die Annahme einer Zertifikatserneuerung
Umsetzung beim Betrieb der BR-SubCA-2023:
Es gibt keinen dedizierten Prozess zur Annahme des Zertifikats nach einer Zertifikatserneue-
rung (wie auch bei einer Neubeantragung).

         4.6.6    Veröffentlichung der Zertifikatserneuerung durch die CA
Umsetzung beim Betrieb der BR-SubCA-2023:
Es gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung (siehe Kapitel 4.4.2).

Mindestanforderungen an Endteilnehmer:
Es gelten die gleichen Anforderungen wie in Kapitel 4.4.2 beschrieben.

         4.6.7    Benachrichtigung anderer Zertifikatsinfrastruktur-Teilneh-
                  mer über die Erneuerung des Zertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Es findet keine Benachrichtigung anderer PKI-Teilnehmer statt (wie auch bei einer Neubean-
tragung).

Mindestanforderungen an Endteilnehmer:
Es gelten die gleichen Anforderungen wie in Kapitel 4.4.3 beschrieben.

   4.7      Zertifizierung nach Schlüsselerneuerung

         4.7.1    Bedingungen für eine Zertifizierung nach Schlüsselerneue-
                  rung
Umsetzung beim Betrieb der BR-SubCA-2023:
Grund für eine Schlüssel- und Zertifikatserneuerung der BR-SubCA-2023 ist der bevorste-
hende Ablauf des CA-Zertifikats. Eine Schlüssel- und Zertifikatserneuerung erfolgt auch,
wenn das CA-Zertifikat bspw. aufgrund einer Schlüsselkompromittierung von der ausstellen-
den CA widerrufen wurde, aber ein entsprechendes Zertifikat weiterhin benötigt wird.

Mindestanforderungen an Endteilnehmer:
Eine Zertifikaterneuerung mit Schlüsselwechsel kann beantragt werden, wenn z. B. die Gül-
tigkeit eines Endteilnehmerzertifikats abläuft. Sie muss zwingend beantragt werden, wenn
ein Zertifikat aufgrund von Schlüsselkompromittierung gesperrt wurde, aber ein entsprechen-
des Zertifikat weiterhin benötigt wird.

 Stand: 11.08.2017                                                          23
4.7.2    Wer darf Zertifikate für Schlüsselerneuerungen beantragen?
Umsetzung beim Betrieb der BR-SubCA-2023:
Ein BR-SubCA-2023 Administrator der BR-SubCA-2023 führt rechtzeitig, d. h. mindestens drei
Jahre vor Ablauf des eigenen CA-Zertifikats eine Schlüssel- und Zertifikatserneuerung durch5.

Ein BR-SubCA-2023 Manager darf nicht stellvertretend für einen Zertifikatsnehmer der BR-
SubCA-2023 eine Schlüssel- und Zertifikatserneuerung für ein Endteilnehmerzertifikat durch-
führen.

Mindestanforderungen an Endteilnehmer:
Eine Schlüssel- und Zertifikatserneuerung muss durch den Zertifikatsnehmer bzw. stellvertre-
tend durch eine autorisierte Person3 oder dessen Vertreter beantragt werden.

Ein Zertifikatsnehmer bzw. stellvertretend eine autorisierte Person3 oder dessen Vertreter
sollte rechtzeitig einen Antrag auf Zertifikatserneuerung mit Schlüsselwechsel bei der BR-
SubCA-2023 stellen, sofern die Zertifikate nicht via Auto-Enrollment (inkl. Schlüsselerneue-
rung) verlängert werden.

          4.7.3    Bearbeitung von Zertifikatsanträgen für Schlüsselerneuerun-
                   gen
Umsetzung beim Betrieb der BR-SubCA-2023:
Für manuelle Zertifikatsanträge für Schlüsselerneuerungen mit vom Antragsteller selbst er-
fassten Daten gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung, siehe Ka-
pitel 4.2. und Kapitel 4.3.1. Wird vor Ablauf eines Endteilnehmerzertifikats der Schlüssel au-
tomatisch erneuert und auch automatisch ein neuer Zertifikatsantrag bei der BR-SubCA-2023
eingereicht (Auto-Enrollment), so wird das Zertifikat direkt – ohne vorherige Prüfung und
Freigabe des Zertifikatsantrags – durch die BR-SubCA-2023 ausgestellt.

Mindestanforderungen an Endteilnehmer:
Wenn ein Endteilnehmerzertifikat nicht vor Ablauf des Zertifikats automatisch erneuert wird
(Auto-Enrollment), gelten die gleichen Anforderungen wie in Kapitel 4.2 beschrieben.

5
       Endanwenderzertifikate sind maximal drei Jahre gültig. Das Zertifikat der BR-SubCA-2023
muss zum Zeitpunkt der Ausstellung mindestens noch genau so lange gültig sein.

    Stand: 11.08.2017                                                           24
4.7.4    Benachrichtigung des Zertifikatsnehmers über die Ausgabe
                  eines Nachfolgezertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Es findet keine Benachrichtigung der Endteilnehmer bzw. der autorisierte Person 3 über die
Ausgabe eines Nachfolgezertifikats statt (wie auch bei einer Neubeantragung, siehe Ab-
schnitt 4.3.2).

         4.7.5    Verhalten für die Annahme von Zertifikaten für Schlüsseler-
                  neuerungen
Umsetzung beim Betrieb der BR-SubCA-2023:
Es gibt keinen dedizierten Prozess zur Annahme des Zertifikats nach einer Schlüsselerneue-
rung (wie auch bei einer Neubeantragung).

         4.7.6    Veröffentlichung von Zertifikaten für Schlüsselerneuerungen
                  durch die CA
Umsetzung beim Betrieb der BR-SubCA-2023:
Es gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung (siehe Kapitel 4.4.2).

Mindestanforderungen an Endteilnehmer:
Es gelten die gleichen Anforderungen wie in Kapitel 4.4.2 beschrieben.

         4.7.7    Benachrichtigung anderer Zertifikatsinfrastruktur-Teilneh-
                  mer über die Ausgabe eines Nachfolgezertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Es findet keine Benachrichtigung anderer PKI-Teilnehmer statt (wie auch bei einer Neubean-
tragung).

Mindestanforderungen an Endteilnehmer:
Es gelten die gleichen Anforderungen wie in Kapitel 4.4.3 beschrieben.

   4.8      Zertifikatsänderung

         4.8.1    Bedingungen für eine Zertifikatsänderung
Umsetzung beim Betrieb der BR-SubCA-2023:
Wenn sich Angaben im Zertifikat der BR-SubCA-2023 geändert haben, stellt die BR-SubCA-
2023 einen Antrag auf Zertifikatsänderung bei der BR-ROOTCA. Technisch bedeutet dies die
Sperrung des alten Zertifikats und eine Zertifikatserneuerung (siehe Abschnitt 4.6).
Bedingung für eine Zertifikatsänderung ist zum Beispiel:

 Stand: 11.08.2017                                                          25
•   der Name des Zertifikatsnehmers hat sich wegen einer Umstrukturierung der Organi-
       sation geändert

Mindestanforderungen an Endteilnehmer:
Haben sich Angaben in einem Endteilnehmerzertifikat geändert, so muss der Endteilnehmer
eine Zertifikatsänderung bei der BR-SubCA-2023 beantragen. Gründe für eine Zertifikatsän-
derung sind zum Beispiel:

   •   die Zuordnung der im Zertifikat enthaltenen DNS-Name, IP-Adresse oder E-Mail-Ad-
       resse zum Zertifikatsnehmer ist nicht mehr gegeben
   •   der Name des Zertifikatsnehmers hat sich nach Heirat/Scheidung geändert.

          4.8.2   Wer darf eine Zertifikatsänderung beantragen?
Umsetzung beim Betrieb der BR-SubCA-2023:
Ein BR-SubCA-2023 Administrator der BR-SubCA-2023 beantragt bei Bedarf eine Zertifikats-
änderung des BR-SubCA-2023 Zertifikats bei der BR-ROOTCA.

Ein BR-SubCA-2023 Manager darf nicht stellvertretend für einen Zertifikatsnehmer der BR-
SubCA-2023 eine Zertifikatsänderung für ein Endteilnehmerzertifikat durchführen.

Mindestanforderungen an Endteilnehmer:
Eine Zertifikatsänderung für ein Endteilnehmerzertifikat muss durch den Zertifikatsnehmer
bzw. stellvertretend durch eine autorisierte Person/System 3 oder dessen Vertreter beantragt
werden.

          4.8.3   Bearbeitung eines Antrags auf Zertifikatsänderung
Umsetzung beim Betrieb der BR-SubCA-2023:
Eine Zertifikatsänderung bedeutet technisch die Sperrung eines Zertifikats und die Ausstel-
lung eines neuen Zertifikats mit den geänderten Zertifikatsinhalten. Für den Ablauf gelten die
gleichen Festlegungen wie in Abschnitt 4.9 und 4.7 beschrieben.

Mindestanforderungen an Endteilnehmer:
Es gelten die gleichen Anforderungen wie in Abschnitt 4.9 und 4.7 beschrieben.

          4.8.4   Benachrichtigung des Zertifikatsnehmers über die Ausgabe
                  eines neuen Zertifikats
Umsetzung beim Betrieb der BR-SubCA-2023:
Es erfolgt keine Benachrichtigung der Zertifikatsnehmer (wie auch bei einer Neubeantra-
gung, siehe Kapitel 4.3.2).

 Stand: 11.08.2017                                                          26
Sie können auch lesen