(CPS) Certificate Policy (CP) / Certificate Policy Statement der BR-SubCA-2023 - Version 1.0 - Stand: 11.08.2017
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Certificate Policy (CP) / Certificate Policy Statement (CPS) der BR-SubCA-2023 Version 1.0 Stand: 11.08.2017 1
Inhaltsverzeichnis 1. Einleitung ................................................................................................................ 5 1.1 Überblick .................................................................................................................... 6 1.2 Name und Kennzeichnung des Dokuments ..................................................................... 6 1.3 PKI-Teilnehmer ........................................................................................................... 6 1.4 Verwendung von Zertifikaten ........................................................................................ 7 1.5 Pflege der Richtlinie ..................................................................................................... 8 1.6 Begriffe und Abkürzungen ............................................................................................ 8 2. Verantwortlichkeit für Verzeichnisse und Veröffentlichungen ...................................... 10 2.1 Verzeichnisse ............................................................................................................ 10 2.2 Veröffentlichung von Informationen zur Zertifikatserstellung .......................................... 10 2.3 Zeitpunkt und Häufigkeit von Veröffentlichungen .......................................................... 11 2.4 Zugriffskontrollen auf Verzeichnisse............................................................................. 11 3. Identifizierung und Authentifizierung ....................................................................... 12 3.1 Namensregeln........................................................................................................... 12 3.2 Erstmalige Überprüfung der Identität........................................................................... 13 3.3 Identifizierung und Authentifizierung von Anträgen auf Zertifizierung nach Schlüsselerneuerung (Rekeying) ............................................................................................ 15 3.4 Identifizierung und Authentifizierung von Sperranträgen ................................................ 15 4. Betriebsanforderungen ........................................................................................... 16 4.1 Zertifikatsantrag........................................................................................................ 16 4.2 Verarbeitung des Zertifikatsantrags ............................................................................. 17 4.3 Zertifikatsausgabe ..................................................................................................... 18 4.4 Zertifikatsannahme .................................................................................................... 19 4.5 Verwendung des Schlüsselpaares und des Zertifikats..................................................... 20 4.6 Zertifikatserneuerung................................................................................................. 21 4.7 Zertifizierung nach Schlüsselerneuerung ...................................................................... 23 4.8 Zertifikatsänderung ................................................................................................... 25 4.9 Sperrung und Suspendierung von Zertifikaten .............................................................. 27 4.10 Statusabfragedienst für Zertifikate............................................................................... 32 4.11 Kündigung durch den Zertifikatsnehmer ....................................................................... 32 4.12 Schlüsselhinterlegung und Wiederherstellung ............................................................... 32 5. Nicht-technische Sicherheitsmaßnahmen ................................................................. 34 5.1 Bauliche Sicherheitsmaßnahmen ................................................................................. 34 5.2 Verfahrensvorschriften ............................................................................................... 35 5.3 Personelle Sicherheitsmaßnahmen .............................................................................. 36 Stand: 11.08.2017 2
5.4 Überwachungsmaßnahmen ........................................................................................ 37 5.5 Archivierung von Aufzeichnungen................................................................................ 39 5.6 Schlüsselwechsel der BR-CA ....................................................................................... 41 5.7 Kompromittierung und Geschäftsweiterführung bei der BR-SUB-CA ................................. 41 5.8 Schließung einer BR CA.............................................................................................. 42 6. Technische Sicherheitsmaßnahmen ......................................................................... 43 6.1 Erzeugung und Installation von Schlüsselpaaren ........................................................... 43 6.2 Sicherung des privaten Schlüssels und Anforderungen an kryptographische Module .......... 45 6.3 Andere Aspekte des Managements von Schlüsselpaaren ................................................ 48 6.4 Aktivierungsdaten...................................................................................................... 49 6.5 Sicherheitsmaßnahmen in den Rechneranlagen ............................................................ 50 6.6 Technische Maßnahmen während des Life Cycles.......................................................... 50 6.7 Sicherheitsmaßnahmen für Netze ................................................................................ 51 6.8 Zeitstempel .............................................................................................................. 51 7. Profile von Zertifikaten, Sperrlisten und OCSP .......................................................... 52 7.1 Zertifikatsprofile ........................................................................................................ 52 7.2 Sperrlistenprofile ....................................................................................................... 54 7.3 Profile des Statusabfragedienstes (OCSP)..................................................................... 54 8. Überprüfungen und andere Bewertungen................................................................. 56 8.1 Häufigkeit und Bedingungen für Überprüfungen ........................................................... 56 8.2 Identität/Qualifikation des Prüfers ............................................................................... 56 8.3 Stellung des Prüfers zum Bewertungsgegenstand.......................................................... 56 8.4 Durch Überprüfungen abgedeckte Themen .................................................................. 56 8.5 Reaktionen auf Unzulänglichkeiten .............................................................................. 57 8.6 Information über Bewertungsergebnisse ...................................................................... 57 9.1 Preise ...................................................................................................................... 58 9.2 Finanzielle Zuständigkeiten......................................................................................... 58 9.3 Vertraulichkeitsgrad von Geschäftsdaten ...................................................................... 58 9.4 Datenschutz von Personendaten ................................................................................. 59 9.5 Geistiges Eigentumsrecht ........................................................................................... 60 9.6 Zusicherungen und Garantien ..................................................................................... 60 9.7 Haftungsausschlüsse ................................................................................................. 61 9.8 Haftungsbeschränkungen ........................................................................................... 61 9.9 Schadensersatz ......................................................................................................... 61 9.10 Gültigkeitsdauer und Beendigung ................................................................................ 61 9.11 Individuelle Mitteilungen und Absprachen mit Teilnehmern ............................................ 62 9.12 Ergänzungen ............................................................................................................ 62 Stand: 11.08.2017 3
9.13 Verfahren zur Schlichtung von Streitfällen .................................................................... 63 9.14 Zugrunde liegendes Recht .......................................................................................... 63 9.15 Einhaltung geltenden Rechts ...................................................................................... 63 9.16 Sonstige Bestimmungen ............................................................................................. 63 9.17 Andere Bestimmungen ............................................................................................... 64 Anhang A Zuweisung der Rollen/Aufgaben ................................................................. 65 Anhang B Mitgeltende Unterlagen ............................................................................. 66 Stand: 11.08.2017 4
1. Einleitung Dieses Dokument ist das Policy-Dokument der BR-SubCA-2023. Es kombiniert das CPS und die CP in einem einzigen Dokument. Die Gliederung wurde gemäß RFC 3647 erstellt. Das Dokument beschreibt als CPS die geltenden Sicherheitsmaßnahmen für den Zertifizie- rungsbetrieb und damit den Ist-Stand der BR-SubCA-2023. Anforderungen an die Sub-CA sind im CP/CPS der BR-ROOTCA beschrieben und wurden von der BR-SubCA-2023 umge- setzt. Zum anderen beschreibt das Dokument in einzelnen Abschnitten als Zertifizierungsrichtlinie (CP) die Anforderungen der BR-SubCA-2023 an ihre Zertifikatsnehmer („Mindestanforderun- gen an Endteilnehmer“). Wenn keine Mindestanforderungen an Endteilnehmer in einem Ab- schnitt aufgeführt sind, gibt es keine solchen Anforderungen. Die Verwendung der Schlüssel- wörter zur Kennzeichnung der Anforderungen basiert auf der Übersetzung der englischen Begriffe aus dem RFC 21191: 1. „muss“, „soll“, „erforderlich“ bzw. „darf nicht“, „soll nicht“, „verboten“ 2. „sollte“, „empfohlen“ bzw. „sollte nicht“, „nicht empfohlen“ 3. „darf“, „kann“, „optional“ Durch den Betreiber der BR-SubCA-2023 muss sichergestellt werden, dass diese Anforderun- gen geeignet an die zuständigen Rollen/Personen übergeben werden. Alle in diesem Dokument beschriebenen Verfahren und Anforderungen sind für die BR- SubCA-2023 und die Endteilnehmer verbindlich und können nicht abgeschwächt werden. Die Verfahren und Anforderungen betreffen die infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen und Abläufe innerhalb der BR-SubCA-2023 und le- gen dabei insbesondere die Rahmenbedingungen für die Ausstellung von Zertifikaten ent- sprechend der internationalen Norm X.509 fest. Dieses Policy-Dokument orientiert sich an den Vorgaben aus RFC 3647, um dem Leser den Vergleich von verschiedenen Zertifizierungsrichtlinien und Umsetzungen beim Zertifizierungs- betrieb zu vereinfachen. Einige Komponenten aus dem RFC 3647 sind nicht zutreffend, da sie nicht in den Anwendungsbereich der BR-SubCA-2023 fallen. Diese Kapitel wurden nicht gestrichen, sondern durch die Formulierung „Keine Festlegungen“ als irrelevant markiert, um 1 „Key words for use in RFCs to Indicate Requirement Levels“, https://www.ietf.org/rfc/rfc2119.txt Stand: 11.08.2017 5
so zu dokumentieren, dass es eine bewusste Entscheidung war, diese Kapitel auszuschlie- ßen. 1.1 Überblick Beim BR wird eine zweistufige Zertifikatsinfrastruktur-Hierarchie aufgebaut: • Den Vertrauensanker der Zertifikatsinfrastruktur bildet die Rundfunk-Root-CA. • Die Rundfunk-Root-CA zertifiziert die BR RfA-CA. Aus BR interner PKI-Sicht wird diese BR RfA-CA auch als BR-ROOTCA bezeichnet. • Die BR RfA-CA (BR-ROOTCA) zertifiziert die BR-SubCA-2023 und ggf. zukünftig weitere Sub-CAs. Die BR-SubCA-2023 stellt Endteilnehmerzertifikate aus für Dienste, Anwendungen, User und Maschinen des Bayerischen Rundfunks. 1.2 Name und Kennzeichnung des Dokuments Name: Certificate Policy (CP)/ Certificate Policy Statement (CPS) der BR-SubCA-2023 Version: siehe Titelseite Datum: siehe Fußzeile OID: 1.3.6.1.4.1.28328.65.128 1.3 PKI-Teilnehmer 1.3.1 Zertifizierungsstellen Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 stellt Endteilnehmerzertifikate für den eigenen internen Bedarf des BR aus. 1.3.2 Registrierungsstellen Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 greift auf bestehende Daten von Endteilnehmern zu, die bereits im AD beim BR erfasst sind. Daher ist keine gesonderte Identitätsprüfung erforderlich und die BR- SubCA-2023 verfügt über keine eigene Registrierungsstelle. Stand: 11.08.2017 6
1.3.3 Zertifikatsnehmer Umsetzung beim Betrieb der BR-SubCA-2023: Zertifikatsnehmer der BR-SubCA-2023 sind natürliche Personen und technische Systeme so- wie Funktionsaccounts für Recovery Agenten und zur Erstellung von Code-Signaturen. Recovery Agenten werden beim BR zum einen für die Schlüsselarchivierung und -wiederher- stellung von Verschlüsselungsschlüsseln in der BR-SubCA-2023 und zum anderen zur Wie- derherstellung von verschlüsselten Dateien (EFS) verwendet. Die Zertifikatsnehmer werden im Folgenden auch als Endteilnehmer bezeichnet. Die BR-SubCA-2023 stellt keine weiteren CA-Zertifikate aus. 1.3.4 Zertifikatsnutzer Umsetzung beim Betrieb der BR-SubCA-2023: Zertifikatsnutzer sind alle Personen, Systeme (Maschinen) und Organisationen, die Zertifikate der BR-SubCA-2023 nutzen. 1.3.5 Andere Teilnehmer Es gibt keine weiteren Teilnehmer. Die BR-SubCA-2023 wird von den gleichen Personen be- trieben wird wie die BR-ROOTCA. 1.4 Verwendung von Zertifikaten 1.4.1 Erlaubte Verwendungen von Zertifikaten Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 stellt nur Endteilnehmerzertifikate für Personen, Funktionsaccounts und technische Systeme aus. Die erlaubte Verwendung der ausgestellten Zertifikate wird in der Zertifikatserweiterung KeyUsage und optional ExtendedKeyUsage angegeben. Mindestanforderungen an Endteilnehmer: Die zu diesen Zertifikaten gehörenden privaten Schlüssel dürfen nur für den in der Zertifi- katserweiterung angegeben Verwendungszweck genutzt werden. 1.4.2 Verbotene Verwendungen von Zertifikaten Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 stellt keine weiteren Sub-CA Zertifikate aus. Die BR-SubCA-2023 nutzt ihren Schlüssel nicht zu Verschlüsselungs- oder Authentisierungszwecken oder für andere Signaturen als zur Zertifikats- oder Sperrlistenausstellung. Stand: 11.08.2017 7
Mindestanforderungen an Endteilnehmer: Zertifikatsnehmer der BR-SubCA-2023 und Zertifikatsnutzer sind selbst für die Nutzung in den Anwendungsprogrammen zuständig, sowie für die Prüfung, ob die damit möglichen An- wendungen den Sicherheitsanforderungen geeignet Rechnung tragen. 1.5 Pflege der Richtlinie 1.5.1 Zuständigkeit für das Dokument Umsetzung beim Betrieb der BR-SubCA-2023: Inhaber dieses kombinierten CP/CPS-Dokuments und somit zuständig für dieses Dokument ist der IT Sicherheitsbeauftragte des Bayerischen Rundfunks in Zusammenarbeit mit dem PKI-Team des Referats Server und Systeme der Abteilung IT-Infrastruktur. 1.5.2 Ansprechpartner/Kontaktperson/Sekretariat Ansprechpartner für dieses kombinierte CP/CPS-Dokument ist der IT Sicherheitsbeauftragte des Bayerischen Rundfunks in Zusammenarbeit mit dem PKI-Team des Referats Server und Systeme der Abteilung IT-Infrastruktur. E-Mail Kontakt: IT-Sicherheit@BR.de 1.5.3 Pflege dieser Richtlinie Dieses kombinierte CP/CPS-Dokument wird vom IT Sicherheitsbeauftragten des Bayerischen Rundfunks einmal im Jahr auf Aktualität und Erhalt der Konformität zur jeweils aktuellen Fas- sung den Anforderungen der BR-ROOTCA überprüft. Änderungswünsche können beim IT Si- cherheitsbeauftragten des Bayerischen Rundfunks eingereicht werden. 1.5.4 Annahmeverfahren für Teilnehmer-CP Die BR-SubCA-2023 stellt keine weiteren Sub-CA-Zertifikate aus. Cross-Zertifizierungen sind nicht vorgesehen. Folglich muss die BR-SubCA-2023 kein CP/CPS anerkennen. 1.5.5 Zuständiger für die Anerkennung einer CP in Hinblick auf diese CP/CPS Siehe 1.5.4 1.6 Begriffe und Abkürzungen CA Certification Authority Zertifizierungsstelle CP Certificate Policy Zertifizierungsrichtlinie Stand: 11.08.2017 8
CPS Certification Practice Statement Regelungen für den Zertifizierungsbetrieb CSR Certificate Signing Request Zertifikatsantrag DN Distinguished Name Vollqualifizierter Name DNS Domain Name System Namensauflösung im Internet HTTPS Hypertext Transfer Protocol Secure Sicheres Hypertext-Übertragungsprotokoll OCSP Online Certificate Status Protocol Online-Auskunftsdienst zum Status von Zertifikaten OID Object Identifier Eindeutiger Kennzeichner für Objekte PKI Public Key Infrastructure Infrastruktur für X.509 Zertifikate UPN User Principal Name Eindeutiges Benamungsschema von Benutzer- und Computerobjekten im AD CRL Certificate Revocation List Zertifikatssperrliste. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt o- der widerrufen wurde. Stand: 11.08.2017 9
2. Verantwortlichkeit für Verzeichnisse und Veröffentlichun- gen 2.1 Verzeichnisse Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 stellt ihren Zertifikatsnutzern ihr eigenes CA-Zertifikat und eine Sperrliste zu den von ihr ausgestellten Zertifikaten über ein Active Directory und über einen Webserver zum Abruf aus dem internen LAN, dem ARD-Daten-CN und dem Internet zur Verfügung. Da- bei nutzt die BR-SubCA-2023 Verzeichnisdienste, deren ordnungsgemäßer Betrieb sicherge- stellt ist, und die sich an geltenden Sicherheitsrichtlinien des Bayerischen Rundfunks und dem aktuellen Stand der Technik orientieren. Bei der Veröffentlichung von Zertifikaten wird sichergestellt, dass eine mögliche Veröffentlichung personenbezogener Daten nicht den gel- tenden Datenschutzrichtlinien widerspricht. Zusätzlich betreibt die BR-SubCA-2023 einen OCSP-Responder, über den sie den Zertifikatsnutzern online Sperrinformationen zur Verfü- gung stellt. 2.2 Veröffentlichung von Informationen zur Zertifikatserstellung Die BR-SubCA-2023 stellt ihr eigenes CA-Zertifikat und ihre Sperrliste über ein Active Direc- tory und unter folgenden HTTP-URLs zur Verfügung: Im internen LAN: http://ca-info.br-edv.brnet.int/Zert-Infos/BR-SubCA-2023.cer bzw. http://ca-info.br-edv.brnet.int/Zert-Infos/BR-SubCA-2023.crl im ARD-Daten-CN: http://ca-info.br.cn.ard.de/Zert-Infos/BR-SubCA-2023.cer bzw. http://ca-info.br.cn.ard.de/Zert-Infos/BR-SubCA-2023.crl Im Internet: http://ca-info.br.de/Zert-Infos/BR-SubCA-2023.cer bzw. http://ca-info.br.de/Zert-Infos/BR-SubCA-2023.crl Zusätzlich stellt die BR-SubCA-2023 den Zertifikatsnutzern Sperrinformationen über einen OCSP-Responder zur Verfügung. Der OCSP-Responder ist aus dem internen LAN unter der folgenden URL erreichbar: http://ocsp.br-edv.brnet.int Die URLs für alle oben genannten Abrufmöglichkeiten des BR-SubCA-2023 Zertifikats und der Sperrliste sowie die URL für den Zugriff auf den OCSP-Responder werden von der BR- Stand: 11.08.2017 10
SubCA-2023 in die ausgestellten Endteilnehmerzertifikate eingetragen. So stellt die BR- SubCA-2023 all ihren Zertifikatsnutzern in geeigneter Weise ihre Sperrinformationen und ihr CA-Zertifikat zur Verfügung. Benutzerzertifikate und BR-interne Server/System-Zertifikate, die vor dem 30.09.2017 ausge- stellt wurden, enthalten noch keine ARD-Daten-CN URLs und beinhalten noch die alten DNS- Namen in den Internet-URLs ca-info.brnet.de, die jedoch auf den gleichen Webserver im Internet verweisen wie der neue DNS-Name ca-info.br.de. 2.3 Zeitpunkt und Häufigkeit von Veröffentlichungen Umsetzung beim Betrieb der BR-SubCA-2023: Die Veröffentlichung des BR-SubCA-2023 Zertifikats im AD, im internen LAN, im ARD-Daten- CN und im Internet wird einmalig nach der Installation der BR-SubCA-2023 ausgeführt. Die Sperrliste der BR-SubCA-2023 ist zwei Tage gültig, Sie wird täglich neu ausgestellt. Die Veröffentlichung der Sperrliste im AD, im internen LAN, im ARD-Daten-CN und im Internet erfolgt automatisch nach jeder Ausstellung einer neuen Sperrliste durch die BR-SubCA-2023. Somit erfolgt unverzüglich, spätestens 24 Stunden nach durchgeführter Sperrung eines Zerti- fikates, die Veröffentlichung der aktuellen Sperrinformationen. Der OCSP-Responder antwortet direkt auf die Statusanfrage zu einem Zertifikat. Die Antwort des OCSP-Responders zum Status eines Zertifikats ist genauso lange gültig wie der Sperrliste selbst, d. h. zwei Tage. 2.4 Zugriffskontrollen auf Verzeichnisse Umsetzung beim Betrieb der BR-SubCA-2023: Unkontrollierte Änderungen von Zertifikaten und Sperrinformationen im AD sowie auf den Webservern für den Zugriff aus dem internen LAN, ARD-Daten-CN und im Internet werden durch eine geeignete Zugriffskontrolle verhindert. Der lesende Zugriff auf die Informationen ist ohne vorherige Anmeldung möglich. Der schreibende Zugriff ist auf berechtigte Personen beschränkt. Stand: 11.08.2017 11
3. Identifizierung und Authentifizierung 3.1 Namensregeln 3.1.1 Arten von Namen Umsetzung beim Betrieb der BR-SubCA-2023: Die Namensgebung im subject und issuer Feld in den ausgestellten Endteilnehmerzertifikaten entspricht dem X.500 Standard. Weitere Namensformen sind darüber hinaus möglich. 3.1.2 Notwendigkeit für aussagefähige Namen Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 verwendet aussagekräftige2 Inhaber-Namen in den von ihr ausgestellten Endteilnehmerzertifikaten, um die Identität des Endnutzers oder -systems klar erkenntlich zu machen. Sie verschleiert oder verbirgt die Identität des Endnutzers oder Endsystems nicht. Die von der BR-SubCA-2023 ausgestellten Endteilnehmerzertifikate enthalten im subject Feld den Namen des Zertifikatsnehmers (Benutzer, Funktionsaccount oder technisches System) im CN-Attribut des Distinguished Names und folgende OU, O- und C-Attribute: OU=BR,O=Bayerischer Rundfunk,C=DE 3.1.3 Anonymität oder Pseudonymität von Zertifikatsnehmern Umsetzung beim Betrieb der BR-SubCA-2023: Es werden keine Anonymisierung oder Pseudonyme verwendet. 3.1.4 Regeln für die Interpretation verschiedener Namensformen Umsetzung beim Betrieb der BR-SubCA-2023: Die Distinguished Names im subject und issuer Feld des Zertifikats bezeichnen den Zertifi- katsinhaber und -herausgeber. Abhängig vom Zertifikatstyp wird zusätzlich oder alternativ der Zertifikatsinhaber auch in der SubjectAltName Erweiterung benannt. 3.1.5 Eindeutigkeit von Namen Umsetzung beim Betrieb der BR-SubCA-2023: Bei der Vergabe von Namen ist sichergestellt, dass der Name des Zertifikatsinhabers inner- halb der BR-SubCA-2023 eindeutig ist. 2 im Kontext der jeweiligen PKI-Anwendung Stand: 11.08.2017 12
3.1.6 Anerkennung, Authentifizierung und Rolle von Markennamen Umsetzung beim Betrieb der BR-SubCA-2023: Von der BR-SubCA-2023 werden keine Namen in Zertifikaten verwendet, die Warenzeichen oder Markennamen verletzen. Mindestanforderungen an Endteilnehmer: In Zertifikatsanträgen, die manuell erzeugt werden, dürfen keine Namen verwendet werden, die Warenzeichen oder Markennamen verletzen. Beispiele für manuell erzeugte Zertifikatsan- träge sind Anträge von Server-Administratoren für Linux Server. 3.2 Erstmalige Überprüfung der Identität 3.2.1 Methoden zur Überprüfung des Besitzes des privaten Schlüs- sels Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 erzeugt selbst keine Schlüssel für Endteilnehmer, aber sie stellt vor der Zertifizierung des öffentlichen Schlüssels sicher, dass der zugehörige private Schlüssel im Be- sitz des antragstellenden Endteilnehmers ist. Daher akzeptiert sie nur signierte Zertifikatsan- träge und überprüft diese Signatur auf Gültigkeit und Korrektheit. Die Schlüssel werden von den Endteilnehmern (Benutzer oder technisches System) oder einer autorisierten Person3 erzeugt. Im Rahmen eines sicheren Zertifikats- und Schlüsselmanage- ment-Protokolls wird ein Zertifikatsantrag mit eben diesem privaten Schlüssel digital signiert und an die BR-SubCA-2023 übermittelt. 3.2.2 Authentifizierung von Organisationszugehörigkeiten Umsetzung beim Betrieb der BR-SubCA-2023: Beim Zertifikatsantrag eines Endteilnehmer wird keine Organisationszugehörigkeit überprüft. Eine gesonderte Prüfung der Organisationszugehörigkeit ist nicht erforderlich, da die Authen- tifizierung von Organisationszugehörigkeit des Antragstellers auf Basis bereits erfasster Da- ten erfolgt. Alle berechtigten Antragsteller sind in entsprechenden AD-Gruppen beim BR ent- halten. 3 Autorisiert sind bspw. die zuständigen Server-Administratoren sowie die Nutzer des Code-Sig- ning Funktionsaccounts bzw. des Key Recovery Funktionsaccounts Stand: 11.08.2017 13
3.2.3 Anforderungen zur Identifizierung und Authentifizierung des Zertifikatsnehmers Umsetzung beim Betrieb der BR-SubCA-2023: Die Zertifikatsbeantragung bei der BR-SubCA-2023 erfordert keine gesonderte Identitätsprü- fung. Die Authentifizierung des Antragstellers erfolgt auf Basis bereits erfasster Daten. Alle Antragsteller sind im AD des Bayerischen Rundfunks enthalten und authentifizieren sich bei der Windows-Anmeldung mit ihrem AD-Benutzernamen und AD-Passwort. Daher ist keine weitere Authentifizierung des Antragstellers erforderlich. Zertifikate für technische Systeme wie Domain Controller Zertifikate und OCSP-Responder werden automatisch beantragt. Es findet keine Identitätsüberprüfung und Authentifizierung des Antragstellers statt. 3.2.4 Ungeprüfte Zertifikatsnehmerangaben Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 nimmt keine ungeprüften Teilnehmerangaben in den Endteilnehmerzerti- fikaten auf. Bei automatisiert ausgestellten Zertifikaten (Auto-Enrollment), bei denen der Zer- tifikatsantrag nicht durch einen CA-Administrator der BR-SubCA-2023 geprüft und freigege- ben wird, ist sichergestellt, dass der Antragsteller seinen Zertifikatsantrag nicht manuell er- stellen oder verändern kann. 3.2.5 Prüfung der Berechtigung zur Antragstellung Umsetzung beim Betrieb der BR-SubCA-2023: Ein BR-SubCA-2023 Admin vergibt die entsprechenden Antragsberechtigungen in der BR- SubCA-2023. Zur Berechtigungsverwaltung verwendet der BR-SubCA-2023 Admin beste- hende AD-Gruppen, die von den AD-Administratoren beim BR gepflegt werden, d.h. nur be- rechtigte Nutzer können einen Zertifikatsantrag bei der BR-SubCA-2023 stellen. Bei Zertifikatsanträgen, bei denen der Name des Zertifikatsinhabers vom Antragsteller frei gewählt werden kann, wird die korrekte Namensgebung im Zertifikatsantrag vom BR-SubCA- 2023 Manager überprüft, bevor das Zertifikat ausgestellt wird. Es findet keine Berechtigungs- prüfung statt, da nur administrative Konten entsprechende Zertifikatsanträge stellen dürfen. 3.2.6 Kriterien zur Zusammenarbeit Die BR-SubCA-2023 arbeitet nicht mit anderen Zertifikatsinfrastrukturen außerhalb der Rund- funkanstalten zusammen. Stand: 11.08.2017 14
3.3 Identifizierung und Authentifizierung von Anträgen auf Zerti- fizierung nach Schlüsselerneuerung (Rekeying) 3.3.1 Identifizierung und Authentifizierung von routinemäßigen Anträgen zur Zertifizierung nach Schlüsselerneuerung Umsetzung beim Betrieb der BR-SubCA-2023: Da bei einem Neuantrag keine gesonderte Identitätsprüfung und Authentifizierung des An- tragstellers erforderlich ist, ist diese auch bei Anträgen zur Zertifizierung nach einer Schlüs- selerneuerung nicht erforderlich. 3.3.2 Identifizierung und Authentifizierung zur Schlüsselerneue- rung nach Sperrungen Umsetzung beim Betrieb der BR-SubCA-2023: Wurde das Zertifikat eines Endteilnehmers gesperrt, gelten bei der Zertifikatserneuerung die gleichen Identifizierungs- und Authentifizierungsvorgehensweisen wie beim Neuantrag. Da beim Neuantrag keine gesonderte Identitätsprüfung und Authentifizierung des Antragstellers erforderlich ist, ist diese auch bei Anträgen zur Zertifizierung nach einer Sperrung nicht erfor- derlich. 3.4 Identifizierung und Authentifizierung von Sperranträgen Umsetzung beim Betrieb der BR-SubCA-2023: Sperranträge dürfen von jedermann bei der BR-SubCA-2023 gestellt werden. Daher ist keine gesonderte Identitätsprüfung des Antragstellers erforderlich. Bevor ein CA-Administrator jedoch ein Endteilnehmerzertifikat in der BR-SubCA-2023 sperrt, muss sich ein Mitarbeiter der Fachgruppe Rechenzentren und IT-Systeme über die Sperrab- sicht vergewissern: • Ein SSL/TLS Serverzertifikat wird nur nach Rücksprache mit dem Inhaber des Servers/ Systems gesperrt. • Ein Benutzerzertifikat wird nur nach Rücksprache mit dem Benutzer oder seinem direkten Vorgesetzten gesperrt. • Ein WLAN-Zertifikat wird nur nach Rücksprache mit einem Client-Administrator gesperrt. Die Rücksprache muss entweder telefonisch an eine beim BR hinterlegte Telefonnummer oder in einem persönlichen Gespräch erfolgen, um die Identität des Sperrberechtigten si- cherzustellen. Bei einem persönlichen Gespräch muss die Identität über einen Lichtbildaus- weis geprüft werden, wenn der Gesprächspartner nicht persönlich bekannt ist. Stand: 11.08.2017 15
4. Betriebsanforderungen 4.1 Zertifikatsantrag 4.1.1 Wer kann einen Zertifikatsantrag stellen? Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 stellt folgende Zertifikate aus: • Authentifikationszertifikate für interne technische Systeme, wie bspw. Domain Controller, Webserver, Radius-Server, SCOM-Agenten • Signatur- und Verschlüsselungszertifikate für Benutzer • Authentifikationszertifikate für WLAN (Maschinenzertifikate) • Signaturzertifikate für den OCSP-Responder der BR-SubCA-2023 • Verschlüsselungszertifikate für Recovery Agenten (Funktionsaccounts) • Code Signing Zertifikat (Funktionsaccount) Antragsberechtigt sind die technischen Systeme bzw. die zuständigen Systemadministratoren und ihre Vertreter, die Benutzer im Fall von Signatur- und Verschlüsselungszertifikate sowie die für die Funktionsaccounts jeweils autorisierten Personen. 4.1.2 Registrierungsprozess und Zuständigkeiten Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 erzeugt zentral keine Schlüssel für Endteilnehmerzertifikate. Endteilnehmerzertifikate werden entweder manuell oder automatisiert bei der BR-SubCA- 2023 beantragt, sie werden nach Möglichkeit automatisiert beantragt. Zertifikate für die Funktionsaccounts von Recovery-Agenten und zur Erstellung von Code Signaturen werden manuell beantragt. Bei Zertifikatsanträgen, bei denen der Name des Zertifikatsinhabers vom Antragsteller frei gewählt werden kann wie bspw. bei Webserverzertifikaten, wird eine Prüfung und Freigabe des Zertifikatsantrags durch einen BR-SubCA-2023 Manager durchgeführt, bevor das Zertifi- kat ausgestellt wird. Mindestanforderungen an Endteilnehmer: Der Antragsteller bzw. stellvertretend eine autorisierte Person 3 muss selbst lokal ein Schlüs- selpaar erzeugen und anschließend den öffentlichen Schlüssel gesichert in einem Zertifikats- antrag bei der BR-SubCA-2023 einreichen. Stand: 11.08.2017 16
Die Schlüssellänge des RSA Schlüssels muss mindestens 2048 Bit betragen. Der Zertifikatsan- trag für ein SSL/TLS Serverzertifikat muss den/die DNS-Name(n) des Servers enthalten. 4.2 Verarbeitung des Zertifikatsantrags 4.2.1 Durchführung der Identifizierung und Authentifizierung Umsetzung beim Betrieb der BR-SubCA-2023: Bei der Beantragung von Endteilnehmerzertifikaten ist keine gesonderte Identitätsprüfung und Authentifizierung des Antragstellers erforderlich, da die Identitätsfeststellung auf andere Weise gesichert ist (siehe Kapitel 3.2.3). Mindestanforderungen an Endteilnehmer: Um einen Zertifikatsantrag für einen Webserver oder Lync Server bei der BR-SubCA-2023 einzureichen, muss der Server-Administrator an einem Computer, der Mitglied des AD ist, mit seinem AD-Benutzerkonto angemeldet sein, das per Gruppenmitgliedschaft über die erfor- derlichen Registrieren-Rechte verfügt. Sofern ein anderer Browser als der Internet Explorer oder ein Arbeitsplatz, der nicht dem AD angeschlossen ist, verwendet wird, muss der Server- Administrator sich ggf. im Browser explizit mit seinem AD-Benutzernamen und -Passwort an- melden. 4.2.2 Annahme oder Ablehnung von Zertifikatsanträgen Umsetzung beim Betrieb der BR-SubCA-2023: Zertifikatsanträge für Endteilnehmerzertifikate werden möglichst aus bereits erfassten Daten generiert. Diese auf Bestandsdaten basierenden Zertifikatsanträge werden von den BR- SubCA-2023 Managern vor der Ausstellung der Zertifikate nicht geprüft. Zu diesen Zertifi- katsanträge aus bereits erfassten Daten gehören u. a. auch die Anträge für die Funktionsac- counts für Recovery Agenten und zur Erstellung von Code-Signaturen. Nur Zertifikatsanträge mit von Antragsteller selbst erfassten Daten – wie typischerweise bei SSL/TLS-Serverzertifikaten – werden von einem BR-SubCA-2023 Manager geprüft und ange- nommen oder bei Inkonsistenzen ablehnt. Vor der Ausstellung eines manuell beantragten Serverzertifikats wird die korrekte Namensgebung im Zertifikatsantrag vom BR-SubCA-2023 Manager überprüft. Dabei prüft ein BR-SubCA-2023 Manager besonders die folgenden Punkte: • Die Namensbestandteile im Feld Subject Distinguished Name (Antragsteller) des Zer- tifikatsantrags müssen korrekt sein. Stand: 11.08.2017 17
• Falls der Zertifikatsantrag weitere Namensformen4 in der Zertifikatserweiterung Sub- ject Alternative Name enthält, müssen auch diese Namensbestandteile alle korrekt sein. • Die Schlüssellänge des RSA Schlüssels muss mindestens 2048 Bit betragen. • Der Inhaber des AD-Benutzerkontos, über das der Zertifizierungsantrag bei der BR- SubCA-2023 eingereicht wurde, muss einer der zuständigen Serveradministratoren sein, der für diesen Server verantwortlich ist. Wird in mindestens einem der Prüfungspunkte eine Abweichung festgestellt, wird der Zertifi- katsantrag vom BR-SubCA-2023 Manager abgelehnt. 4.2.3 Fristen für die Bearbeitung von Zertifikatsanträgen Umsetzung beim Betrieb der BR-SubCA-2023: Die Ausstellung von manuell zu prüfenden Zertifikatsanträgen erfolgt in der Regel innerhalb von einem Werktag ab Eingang des Antrags, sofern alle zur Beantragung benötigten Doku- mente vorliegen. Alle automatisiert beantragten Zertifikate werden umgehend ausgestellt. 4.3 Zertifikatsausgabe 4.3.1 Aktionen des Zertifizierungsdiensteanbieters bei der Ausgabe von Zertifikaten Umsetzung beim Betrieb der BR-SubCA-2023: Vor Ausstellung jedes Zertifikats wird die Signatur des Zertifikatsantrags von der BR-SubCA- 2023 geprüft, um sicher zu stellen, dass der Zertifikatsnehmer im Besitz des zugehörigen pri- vaten Schlüssels ist. Automatisiert beantragte Zertifikate werden von der BR-SubCA-2023 au- tomatisch ausgestellt. Manuell erstellte Zertifikatsanträge mit vom Antragsteller selbst erfass- ten Daten werden von einem BR-SubCA-2023 Manager auf Korrektheit geprüft und in Abhän- gigkeit dieser Prüfung zur Ausstellung freigegeben oder abgelehnt. Nach Freigabe des An- trags wird das Zertifikat im Anschluss von der BR-SubCA-2023 automatisch ausgestellt. Eine Ausgabe von Zertifikaten erfolgt nur für gültige Zertifikatsanträge, die syntaktisch korrekt sind und alle erforderlichen Informationen im Antrag enthalten. 4 Bei SSL/TLS Serverzertifikaten sind dies typischerweise DNS-Name(n). Stand: 11.08.2017 18
4.3.2 Benachrichtigung des Zertifikatsnehmers über die Ausgabe des Zertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Es findet keine gesonderte Benachrichtigung des Zertifikatsnehmers über die Ausgabe von Zertifikaten statt. 4.4 Zertifikatsannahme 4.4.1 Verhalten für eine Zertifikatsannahme Umsetzung beim Betrieb der BR-SubCA-2023: Keine Festlegungen. 4.4.2 Veröffentlichung des Zertifikats durch die CA Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 veröffentlicht ihr CA-Zertifikat im AD, im internen LAN, im ARD-Daten- CN und im Internet, so dass dieses von allen Zertifikatsprüfern abgerufen werden kann (siehe Kapitel 2.2). Die für technische Systeme und Benutzer ausgestellten Signatur- und Authentifikationszertifikate werden nicht veröffentlicht. Die Verschlüsselungszertifikate für Benutzer werden im AD veröffentlicht. Mindestanforderungen an Endteilnehmer: Bei Verschlüsselung durch Externe, die keinen Zugriff auf das AD beim BR haben, müssen Benutzer den Externen ihr Verschlüsselungszertifikat zur Verfügung stellen. 4.4.3 Benachrichtigung anderer Zertifikatsinfrastruktur-Teilneh- mer über die Ausgabe des Zertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Von der BR-SubCA-2023 findet keine Benachrichtigung weiterer PKI-Teilnehmer statt über die Ausstellung eines neuen Endteilnehmerzertifikats. Mindestanforderungen an Endteilnehmer: Bei Verschlüsselung durch Externe, die keinen Zugriff auf das AD beim BR haben, sollten Be- nutzer die betreffenden Externen benachrichtigen, wenn Sie ein neues Verschlüsselungszerti- fikat von der BR-SubCA-2023 erhalten haben. Stand: 11.08.2017 19
4.5 Verwendung des Schlüsselpaares und des Zertifikats 4.5.1 Verwendung des privaten Schlüssels und des Zertifikats durch den Zertifikatsnehmer Umsetzung beim Betrieb der BR-SubCA-2023: Die BR-SubCA-2023 setzt ihren Schlüssel und ihr Zertifikat nur für die in ihrem Zertifikat ge- nannten Verwendungszwecke ein, d.h. zur Ausstellung von Endteilnehmerzertifikaten und Sperrlisten. Sie trägt dafür Sorge, dass ihr privater Schlüssel angemessen geschützt ist (siehe Kapitel 6). Sollte der private Schlüssel der BR-SubCA-2023 dennoch abhandengekommen, gestohlen oder möglicherweise kompromittiert worden sein oder sollten Angaben im Zertifikat nicht mehr korrekt sein, wird unverzüglich ein Sperrantrag bei der BR-ROOTCA gestellt. Die BR-Sub-CA sichert ihren privaten CA-Schlüssel, so dass sie ihn im Notfall wiederherstel- len kann, um einen kontinuierlichen Zertifizierungsbetrieb zu gewährleisten. Mindestanforderungen an Endteilnehmer: Die gleiche Anforderung im Umgang mit dem privaten Schlüssel und Zertifikat gilt auch für die Zertifikatsnehmer (Endteilnehmer) der BR-SubCA-2023: • Ein Endteilnehmer darf seinen privaten Schlüssel und sein Zertifikat ausschließlich für die im Zertifikat genannten Verwendungszwecke einsetzen. • Ein Zertifikatsnehmer bzw. die für den Schlüssel und das Zertifikat autorisierte Person 3 muss Sorge tragen, dass der private Schlüssel angemessen geschützt ist und das Zertifi- kat in Übereinstimmung mit den Anforderungen aus diesem Dokument eingesetzt wird. Ein Zertifikatsnehmer bzw. die autorisierte Person muss das Zertifikat unverzüglich bei der BR- SubCA-2023 sperren lassen, wenn die Angaben des Zertifikats nicht mehr korrekt sind oder wenn der private Schlüssel abhandengekommen ist, gestohlen oder möglicherweise kompro- mittiert wurde. Bietet eine BR-Sub-CA keine Möglichkeit der Schlüsselhinterlegung an oder wird eine optio- nale Schlüsselhinterlegungsmöglichkeit bei der BR-Sub-CA vom Zertifikatsnehmer nicht in Anspruch genommen, so ist der Zertifikatsnehmer selbst dafür zuständig, private Schlüssel so zu sichern, dass er ggf. verschlüsselte Daten wieder entschlüsseln kann. Stand: 11.08.2017 20
4.5.2 Verwendung des öffentlichen Schlüssels und des Zertifikats durch Zertifikatsnutzer Umsetzung beim Betrieb der BR-SubCA-2023: Keine Festlegungen. Die BR-SubCA-2023 ist kein Zertifikatsnutzer. Mindestanforderungen an Endteilnehmer: Ein Zertifikatsnutzer muss die im Zertifikat genannten Verwendungszwecke prüfen und darf ein Zertifikat ausschließlich für diese Zwecke akzeptieren. 4.6 Zertifikatserneuerung 4.6.1 Bedingungen für eine Zertifikatserneuerung Umsetzung beim Betrieb der BR-SubCA-2023: Ein BR-SubCA-2023 Administrator beantragt für die BR-SubCA-2023 niemals eine Zertifikats- erneuerung ohne Schlüsselwechsel. Wenn die Gültigkeit des BR-SubCA-2023 Zertifikats ab- läuft oder das BR-SubCA-2023 Zertifikat bspw. aufgrund einer Schlüsselkompromittierung gesperrt wurde, aber ein entsprechendes Zertifikat weiterhin benötigt wird, erzeugt ein BR- SubCA-2023 Administrator immer ein neues Schlüsselpaar und beantragt hierfür ein neues Zertifikat (siehe Kapitel 4.7). Wurde der Schlüssel der BR-SubCA-2023 kompromittiert und die BR-SubCA-2023 daher neu aufgesetzt, dürfen die Endteilnehmerzertifikate der BR-SubCA-2023 unter Beibehaltung des alten bestehenden Schlüssels direkt von der BR-SubCA-2023 erneuert werden, sofern diese nicht kompromittiert wurden und diese weiterhin den aktuellen kryptographischen Mindest- anforderungen der BR-ROOTCA genügen. In diesem Fall treffen die BR-SubCA-2023 Manager gemeinsam mit dem IT-Sicherheitsbeauftragten des Bayerischen Rundfunks die Entschei- dung, ob die Schlüssel der Endteilnehmer bei der Zertifikatserneuerung ebenfalls erneuert werden müssen, und dokumentieren diese Entscheidung als schriftliche Protokollnotiz. Mindestanforderungen an Endteilnehmer: Wenn die Gültigkeit eines Endteilnehmerzertifikats abläuft oder ein Endteilnehmerzertifikat vor Ablauf der Gültigkeit erneuert wird, dürfen die Endteilnehmerzertifikate der BR-SubCA- 2023 unter Beibehaltung des alten bestehenden Schlüssels erneuert werden, sofern weiter- hin die aktuellen kryptographischen Mindestanforderungen der BR-ROOTCA erfüllt sind. Wenn ein Endteilnehmerzertifikat wegen Verdacht auf Kompromittierung des privaten Schlüssels gesperrt wurde oder wenn das Zertifikat den aktuellen kryptographischen Min- Stand: 11.08.2017 21
destanforderungen der BR-ROOTCA nicht mehr genügt, darf keine Zertifikatserneuerung un- ter Beibehaltung des alten bestehenden Schlüssels beantragt werden, sondern es muss mit dem Antrag auf Erneuerung des Endteilnehmerzertifikats auch ein neues Schlüsselpaar er- zeugt werden (siehe Abschnitt 4.7). 4.6.2 Wer darf eine Zertifikatserneuerung beantragen? Umsetzung beim Betrieb der BR-SubCA-2023: Ein BR-SubCA-2023 Manager darf in der Regel nicht stellvertretend für einen Zertifikatsneh- mer der BR-SubCA-2023 eine Zertifikatserneuerung für ein Endteilnehmerzertifikat durchfüh- ren. Dieses Verbot gilt nicht, wenn der eigene Schlüssel der BR-SubCA-2023 kompromittiert wurde und die Endteilnehmerzertifikate mit dem neuen Schlüssel der BR-SubCA-2023 erneut ausgestellt werden. Mindestanforderungen an Endteilnehmer: Eine Zertifikatserneuerung muss durch den Zertifikatsnehmer bzw. stellvertretend durch eine autorisierte Person3 oder dessen Vertreter beantragt werden. Ein Zertifikatsnehmer bzw. stellvertretend eine autorisierte Person3 oder dessen Vertreter sollte rechtzeitig einen Antrag auf Zertifikatserneuerung bei der BR-SubCA-2023 stellen, so- fern die Zertifikate nicht via Auto-Enrollment (inkl. Schlüsselerneuerung) verlängert werden. 4.6.3 Bearbeitungsprozess eines Antrags auf Zertifikatserneuerung Umsetzung beim Betrieb der BR-SubCA-2023: Bei manuellen Zertifikatsanträgen für Zertifikaterneuerungen mit vom Antragsteller selbst er- fassten Daten gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung, siehe Ka- pitel 4.2 und Kapitel 4.3.1. Wird jedoch vor Ablauf eines Endteilnehmerzertifikats, das ur- sprünglich manuell beantragt wurde, nun automatisch ein neuer Zertifikatsantrag mit dem gleichen Namen bei der BR-SubCA-2023 eingereicht und ist das aktuelle Zertifikat nicht ge- sperrt, so wird das Zertifikat direkt – ohne vorherige Prüfung und Freigabe des Zertifikatsan- trags – durch die BR-SubCA-2023 neu ausgestellt. Mindestanforderungen an Endteilnehmer: Wenn ein Endteilnehmerzertifikat erst nach Ablauf des Zertifikats erneuert wird, gelten die gleichen Anforderungen wie in Kapitel 4.2 beschrieben. 4.6.4 Benachrichtigung des Zertifikatsnehmers über die Ausgabe eines neuen Zertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Es findet keine Benachrichtigung der Endteilnehmer bzw. der autorisierten Personen 3 über Stand: 11.08.2017 22
die Ausgabe eines Nachfolgezertifikats statt (wie auch bei einer Neubeantragung, siehe Ab- schnitt 4.3.2). 4.6.5 Verhalten für die Annahme einer Zertifikatserneuerung Umsetzung beim Betrieb der BR-SubCA-2023: Es gibt keinen dedizierten Prozess zur Annahme des Zertifikats nach einer Zertifikatserneue- rung (wie auch bei einer Neubeantragung). 4.6.6 Veröffentlichung der Zertifikatserneuerung durch die CA Umsetzung beim Betrieb der BR-SubCA-2023: Es gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung (siehe Kapitel 4.4.2). Mindestanforderungen an Endteilnehmer: Es gelten die gleichen Anforderungen wie in Kapitel 4.4.2 beschrieben. 4.6.7 Benachrichtigung anderer Zertifikatsinfrastruktur-Teilneh- mer über die Erneuerung des Zertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Es findet keine Benachrichtigung anderer PKI-Teilnehmer statt (wie auch bei einer Neubean- tragung). Mindestanforderungen an Endteilnehmer: Es gelten die gleichen Anforderungen wie in Kapitel 4.4.3 beschrieben. 4.7 Zertifizierung nach Schlüsselerneuerung 4.7.1 Bedingungen für eine Zertifizierung nach Schlüsselerneue- rung Umsetzung beim Betrieb der BR-SubCA-2023: Grund für eine Schlüssel- und Zertifikatserneuerung der BR-SubCA-2023 ist der bevorste- hende Ablauf des CA-Zertifikats. Eine Schlüssel- und Zertifikatserneuerung erfolgt auch, wenn das CA-Zertifikat bspw. aufgrund einer Schlüsselkompromittierung von der ausstellen- den CA widerrufen wurde, aber ein entsprechendes Zertifikat weiterhin benötigt wird. Mindestanforderungen an Endteilnehmer: Eine Zertifikaterneuerung mit Schlüsselwechsel kann beantragt werden, wenn z. B. die Gül- tigkeit eines Endteilnehmerzertifikats abläuft. Sie muss zwingend beantragt werden, wenn ein Zertifikat aufgrund von Schlüsselkompromittierung gesperrt wurde, aber ein entsprechen- des Zertifikat weiterhin benötigt wird. Stand: 11.08.2017 23
4.7.2 Wer darf Zertifikate für Schlüsselerneuerungen beantragen? Umsetzung beim Betrieb der BR-SubCA-2023: Ein BR-SubCA-2023 Administrator der BR-SubCA-2023 führt rechtzeitig, d. h. mindestens drei Jahre vor Ablauf des eigenen CA-Zertifikats eine Schlüssel- und Zertifikatserneuerung durch5. Ein BR-SubCA-2023 Manager darf nicht stellvertretend für einen Zertifikatsnehmer der BR- SubCA-2023 eine Schlüssel- und Zertifikatserneuerung für ein Endteilnehmerzertifikat durch- führen. Mindestanforderungen an Endteilnehmer: Eine Schlüssel- und Zertifikatserneuerung muss durch den Zertifikatsnehmer bzw. stellvertre- tend durch eine autorisierte Person3 oder dessen Vertreter beantragt werden. Ein Zertifikatsnehmer bzw. stellvertretend eine autorisierte Person3 oder dessen Vertreter sollte rechtzeitig einen Antrag auf Zertifikatserneuerung mit Schlüsselwechsel bei der BR- SubCA-2023 stellen, sofern die Zertifikate nicht via Auto-Enrollment (inkl. Schlüsselerneue- rung) verlängert werden. 4.7.3 Bearbeitung von Zertifikatsanträgen für Schlüsselerneuerun- gen Umsetzung beim Betrieb der BR-SubCA-2023: Für manuelle Zertifikatsanträge für Schlüsselerneuerungen mit vom Antragsteller selbst er- fassten Daten gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung, siehe Ka- pitel 4.2. und Kapitel 4.3.1. Wird vor Ablauf eines Endteilnehmerzertifikats der Schlüssel au- tomatisch erneuert und auch automatisch ein neuer Zertifikatsantrag bei der BR-SubCA-2023 eingereicht (Auto-Enrollment), so wird das Zertifikat direkt – ohne vorherige Prüfung und Freigabe des Zertifikatsantrags – durch die BR-SubCA-2023 ausgestellt. Mindestanforderungen an Endteilnehmer: Wenn ein Endteilnehmerzertifikat nicht vor Ablauf des Zertifikats automatisch erneuert wird (Auto-Enrollment), gelten die gleichen Anforderungen wie in Kapitel 4.2 beschrieben. 5 Endanwenderzertifikate sind maximal drei Jahre gültig. Das Zertifikat der BR-SubCA-2023 muss zum Zeitpunkt der Ausstellung mindestens noch genau so lange gültig sein. Stand: 11.08.2017 24
4.7.4 Benachrichtigung des Zertifikatsnehmers über die Ausgabe eines Nachfolgezertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Es findet keine Benachrichtigung der Endteilnehmer bzw. der autorisierte Person 3 über die Ausgabe eines Nachfolgezertifikats statt (wie auch bei einer Neubeantragung, siehe Ab- schnitt 4.3.2). 4.7.5 Verhalten für die Annahme von Zertifikaten für Schlüsseler- neuerungen Umsetzung beim Betrieb der BR-SubCA-2023: Es gibt keinen dedizierten Prozess zur Annahme des Zertifikats nach einer Schlüsselerneue- rung (wie auch bei einer Neubeantragung). 4.7.6 Veröffentlichung von Zertifikaten für Schlüsselerneuerungen durch die CA Umsetzung beim Betrieb der BR-SubCA-2023: Es gelten die gleichen Vorgehensweisen wie bei einer Neubeantragung (siehe Kapitel 4.4.2). Mindestanforderungen an Endteilnehmer: Es gelten die gleichen Anforderungen wie in Kapitel 4.4.2 beschrieben. 4.7.7 Benachrichtigung anderer Zertifikatsinfrastruktur-Teilneh- mer über die Ausgabe eines Nachfolgezertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Es findet keine Benachrichtigung anderer PKI-Teilnehmer statt (wie auch bei einer Neubean- tragung). Mindestanforderungen an Endteilnehmer: Es gelten die gleichen Anforderungen wie in Kapitel 4.4.3 beschrieben. 4.8 Zertifikatsänderung 4.8.1 Bedingungen für eine Zertifikatsänderung Umsetzung beim Betrieb der BR-SubCA-2023: Wenn sich Angaben im Zertifikat der BR-SubCA-2023 geändert haben, stellt die BR-SubCA- 2023 einen Antrag auf Zertifikatsänderung bei der BR-ROOTCA. Technisch bedeutet dies die Sperrung des alten Zertifikats und eine Zertifikatserneuerung (siehe Abschnitt 4.6). Bedingung für eine Zertifikatsänderung ist zum Beispiel: Stand: 11.08.2017 25
• der Name des Zertifikatsnehmers hat sich wegen einer Umstrukturierung der Organi- sation geändert Mindestanforderungen an Endteilnehmer: Haben sich Angaben in einem Endteilnehmerzertifikat geändert, so muss der Endteilnehmer eine Zertifikatsänderung bei der BR-SubCA-2023 beantragen. Gründe für eine Zertifikatsän- derung sind zum Beispiel: • die Zuordnung der im Zertifikat enthaltenen DNS-Name, IP-Adresse oder E-Mail-Ad- resse zum Zertifikatsnehmer ist nicht mehr gegeben • der Name des Zertifikatsnehmers hat sich nach Heirat/Scheidung geändert. 4.8.2 Wer darf eine Zertifikatsänderung beantragen? Umsetzung beim Betrieb der BR-SubCA-2023: Ein BR-SubCA-2023 Administrator der BR-SubCA-2023 beantragt bei Bedarf eine Zertifikats- änderung des BR-SubCA-2023 Zertifikats bei der BR-ROOTCA. Ein BR-SubCA-2023 Manager darf nicht stellvertretend für einen Zertifikatsnehmer der BR- SubCA-2023 eine Zertifikatsänderung für ein Endteilnehmerzertifikat durchführen. Mindestanforderungen an Endteilnehmer: Eine Zertifikatsänderung für ein Endteilnehmerzertifikat muss durch den Zertifikatsnehmer bzw. stellvertretend durch eine autorisierte Person/System 3 oder dessen Vertreter beantragt werden. 4.8.3 Bearbeitung eines Antrags auf Zertifikatsänderung Umsetzung beim Betrieb der BR-SubCA-2023: Eine Zertifikatsänderung bedeutet technisch die Sperrung eines Zertifikats und die Ausstel- lung eines neuen Zertifikats mit den geänderten Zertifikatsinhalten. Für den Ablauf gelten die gleichen Festlegungen wie in Abschnitt 4.9 und 4.7 beschrieben. Mindestanforderungen an Endteilnehmer: Es gelten die gleichen Anforderungen wie in Abschnitt 4.9 und 4.7 beschrieben. 4.8.4 Benachrichtigung des Zertifikatsnehmers über die Ausgabe eines neuen Zertifikats Umsetzung beim Betrieb der BR-SubCA-2023: Es erfolgt keine Benachrichtigung der Zertifikatsnehmer (wie auch bei einer Neubeantra- gung, siehe Kapitel 4.3.2). Stand: 11.08.2017 26
Sie können auch lesen